Vous êtes sur la page 1sur 153

Louvrage Concevoir la Scurit Informatique en Entreprise est crit par

AMAN VLADIMIR

et mis disposition selon les termes de la

Licence Creative Commons Attribution - Pas dUtilisation Commerciale - Partage


dans les Mmes Conditions 3.0 non transpos.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 2


Avec le soutien et la collaboration de

C oncevoir la s cur it informatiq ue en entr ep ris e Page 3


A Propos de lAuteur
Titulaire dune Matrise en Criminologie Applique (MCA)
lUniversit Flix Houphout Boigny dAbidjan, AMAN
VLADIMIR GNUAN est cybercriminologue et passionn de
Technologies de lInformation et de la Communication. Il
nourrit un intrt particulier pour lunivers de scurit
informatique et la criminalit lie au cyberespace,
depuis ses premires annes universitaires. Son intrt
pour la comprhension de la "criminalit et la scurit
publique" (dlinquants, politique criminelle, Droit et
procdure pnale, pnologie, sociologie du milieu carcral, etc.), son got
prononc pour lInformatique et les TIC en gnral, ses premiers contacts
professionnels avec le CERT Ivoirien, dnomm CI-CERT (Cte dIvoire - Computer
Emergency Response Team), ont fortement motivs son orientation vers cette
discipline.

Auteur du guide Surfer en toute scurit sur le web , blogueur, il officie en


qualit de Cybercriminologue charg de la communication/sensibilisation au sein
de la Plateforme de Lutte Contre la Cybercriminalit (PLCC). Il est galement
consultant en cyberdroit et en stratgies de planification de la Scurit des
Systmes dinformations auprs dorganisations prives.

Blog de lauteur :

www.cybercrimactu.wordpress.com

Suivre lauteur sur les rseaux sociaux :

vladimiraman@gmail.com

C oncevoir la s cur it informatiq ue en entr ep ris e Page 4


TABLES DES MATIERES

INTRODUCTION ------------------------------------------ 10

PREMIER PARTIE :
FAIRE DE LA SECURITE INFORMATIQUE, QUELS IMPLICATIONS ?
1 DEFINITIONS-------------------------------------------------------------------------------------------------------------- 13
1 La scurit informatique ------------------------------------------------------------------------------------------- 13
2 Le systme dinformation ------------------------------------------------------------------------------------------ 15
3 Systme informatique ---------------------------------------------------------------------------------------------- 17
2 SECURITE INFORMATIQUE : RVE ACCESSIBLE ? ----------------------------------------------------------------- 18
1 Peut-on garantir la scurit en informatique ? --------------------------------------------------------------- 18
2 Le paradoxe du concept de "scurit informatique" --------------------------------------------------------- 21
3 RISQUES ET ENJEUX DE LA SECURITE INFORMATIQUE EN ENTREPRISE -------------------------------------- 23
1 LES RISQUES ---------------------------------------------------------------------------------------------------------- 23
1. Les risques physiques------------------------------------------------------------------------------------------------------ 23
2. Les risques logiques -------------------------------------------------------------------------------------------------------- 24
2 LES ENJEUX ------------------------------------------------------------------------------------------------------------ 26
1. Sur le plan financier-------------------------------------------------------------------------------------------------------- 27
2. Atteinte limage ---------------------------------------------------------------------------------------------------------- 27
3. Sur le plan humain --------------------------------------------------------------------------------------------------------- 28
4. Sur le plan juridique ------------------------------------------------------------------------------------------------------- 28
4 SECURITE INFORMATIQUE : PLUS QUUN CONCEPT STRATEGIQUE, UNE QUESTION DE
GOUVERNANCE ----------------------------------------------------------------------------------------------------------------- 29
1 LOIS ET CONVENTIONS --------------------------------------------------------------------------------------------- 30
1. La loi Sarbanes-Oxley ------------------------------------------------------------------------------------------------------ 30
2. Les accords de Ble -------------------------------------------------------------------------------------------------------- 33
3. Le standard PCI DSS -------------------------------------------------------------------------------------------------------- 34
4. La norme ISO 27001 ------------------------------------------------------------------------------------------------------- 35
5. La norme ISO 27002 ------------------------------------------------------------------------------------------------------- 37
2 LES METHODES DE SECURITE ------------------------------------------------------------------------------------- 40
1. EBIOS (Expression des Besoins et Identification des Objectifs de Scurit) ------------------------------------- 40
2. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)----------------------------------- 42
3. MEHARI (Mthode Harmonise d'Analyse des Risques) ------------------------------------------------------------ 43
4. CRAMM (CCTA Risk Analysis and Management Method) ---------------------------------------------------------- 45
5. ITIL (Information Technology Infrastructure Library) ---------------------------------------------------------------- 46

DEUXIEME PARTIE :
LA SECURITE NEST PAS SEULEMENT UN ENJEUX TECHNOLOGIQUE

1 LETRE HUMAIN : LE MAILLON FAIBLE DE LA CHAINE DE SECURITE------------------------------------------- 51


1 le cerveau et le raisonnement humain -------------------------------------------------------------------------- 52
1. La perception---------------------------------------------------------------------------------------------------------------- 52
2. La reconnaissance des formes ------------------------------------------------------------------------------------------- 53
3. Un traitement variable ---------------------------------------------------------------------------------------------------- 53

C oncevoir la s cur it informatiq ue en entr ep ris e Page 5


4. La mmoire ------------------------------------------------------------------------------------------------------------------ 54
5. Un apprentissage permanent -------------------------------------------------------------------------------------------- 55
6. Le cerveau tourn vers le futur et ses simulations------------------------------------------------------------------- 56
2 des operateurs humains diffrents et variables --------------------------------------------------------------- 56
1. La sant physique et lge ------------------------------------------------------------------------------------------------ 57
2. La fatigue -------------------------------------------------------------------------------------------------------------------- 57
3. Les vnements de la vie ------------------------------------------------------------------------------------------------- 58
4. Les rythmes biologiques -------------------------------------------------------------------------------------------------- 58
3 LES SITUATIONS DE TRAVAIL -------------------------------------------------------------------------------------- 59
1. Le stress au travail --------------------------------------------------------------------------------------------------------- 59
2. Les conditions sociales et lenvironnement social ------------------------------------------------------------------- 61
2 LA CULTURE MANAGERIALE EN ENTREPRISE ---------------------------------------------------------------------- 63
1 la culture de scurit ------------------------------------------------------------------------------------------------ 64
1. Engagement de la direction ---------------------------------------------------------------------------------------------- 65
2. Systme de management de la scurit ------------------------------------------------------------------------------- 65
2 la gestion des ressources humaines ----------------------------------------------------------------------------- 66
1. Le rle du management dans lentreprise ----------------------------------------------------------------------------- 67
2. La formation continue et la sensibilisation ---------------------------------------------------------------------------- 68
3. Lorganisation du retour dexprience --------------------------------------------------------------------------------- 69
3 politiques et procdures-------------------------------------------------------------------------------------------- 70
1. Budgets et dpenses------------------------------------------------------------------------------------------------------- 70
2. Externalisation -------------------------------------------------------------------------------------------------------------- 72
3. Pilotage et Contrle-------------------------------------------------------------------------------------------------------- 73
4. La prvention juridique --------------------------------------------------------------------------------------------------- 76
5. La veille technologique ---------------------------------------------------------------------------------------------------- 82
4 Choix de lenvironnement de scurit --------------------------------------------------------------------------- 82

TROISIEME PARTIE :
RSSI, RM :LES NOUVEAUX METIERS DE LA SECURITE DES SYSTEMES
DINFORMATIONS

1 QUI EST LE RSSI? --------------------------------------------------------------------------------------------------------- 89


1 rle du rssi ------------------------------------------------------------------------------------------------------------- 89
2 missions du rssi ------------------------------------------------------------------------------------------------------- 91
3 positionnement au sein de lentreprise ------------------------------------------------------------------------- 91
4 devenir rssi ------------------------------------------------------------------------------------------------------------ 92
2 RISK MANAGER (RM) ET RSSI : DEUX FONCTIONS COMPLEMENTAIRES ------------------------------------- 94
1 la fonction risk manager ( rm ou manager de risques) ------------------------------------------------------ 94
2 attentes et apports rciproques entre rm et rssi -------------------------------------------------------------- 95
3 NOUVEAUX DEFIS DU RSSI EN ENTREPRISE ------------------------------------------------------------------------ 97
1 le social engineering ------------------------------------------------------------------------------------------------ 97
2 le byod (Bring Your Own Device) --------------------------------------------------------------------------------- 99
3 la sensibilisation en entreprise---------------------------------------------------------------------------------- 100
4 QUELQUES METHODES ET OUTILS DORIENTATION DE LA SECURISATION DE LINFORMATION EN
ENTREPRISE-------------------------------------------------------------------------------------------------------------------- 102
1 Protger les informations publiques --------------------------------------------------------------------------- 103
1. Achats scuriss :---------------------------------------------------------------------------------------------------------- 103
2. Sauvegarde des donnes ------------------------------------------------------------------------------------------------ 104
3. Utilisation de la carte bancaire ----------------------------------------------------------------------------------------- 106

C oncevoir la s cur it informatiq ue en entr ep ris e Page 6


4. Les annonces publicitaires ----------------------------------------------------------------------------------------------- 106
5. Les Spams ------------------------------------------------------------------------------------------------------------------- 107
2 Protger les informations prives (internes) ----------------------------------------------------------------- 107
1. Cration de badges de couleurs diffrentes ------------------------------------------------------------------------- 107
2. Cration et gestion de mots de passe complexes ------------------------------------------------------------------- 108
3. Installation dun antivirus, un anti-troyen, un pare-feu------------------------------------------------------------ 109
4. Masquage des proprits du systme -------------------------------------------------------------------------------- 109
5. Dsactivation des outils amovibles ------------------------------------------------------------------------------------ 110
6. Etablissement de codes couleur et sensibilit des informations ------------------------------------------------- 110
7. Cration de messages d'erreur scuriss ----------------------------------------------------------------------------- 110
8. Utilisation scurise des cookies --------------------------------------------------------------------------------------- 111
9. Configuration du modem ------------------------------------------------------------------------------------------------ 112
10. Configuration du fax, du routeur ----------------------------------------------------------------------------------- 112
11. Destruction des informations sensibles ou du matriel contenant des informations sensibles ------- 112
12. Protection des corbeilles papier et des poubelles ------------------------------------------------------------ 113
13. Les donnes papier --------------------------------------------------------------------------------------------------- 113
14. Utilisation de systmes biomtriques dans des endroits sensibles ------------------------------------------ 113
15. Configuration dun rseau sans fil---------------------------------------------------------------------------------- 114
16. Configuration dun moniteur rseau ------------------------------------------------------------------------------ 114
17. Installation dun pare-feu interne et externe -------------------------------------------------------------------- 115
18. Les rseaux DMZ (DeMilitarized Zones) --------------------------------------------------------------------------- 115
19. Rseaux privs virtuels dentreprise ou Virtual Private Networks (VPN) ----------------------------------- 115
20. Les privilges des utilisateurs --------------------------------------------------------------------------------------- 117
21. Formation des employs --------------------------------------------------------------------------------------------- 118
22. Le personnel et les appels tlphoniques ------------------------------------------------------------------------ 118
23. La ligne tlphonique ------------------------------------------------------------------------------------------------- 119
24. Serveur tlphonique------------------------------------------------------------------------------------------------- 119
25. Les lignes tlphoniques avec diffrentes sonneries ----------------------------------------------------------- 119
26. Le traage dappel ----------------------------------------------------------------------------------------------------- 119
27. Politique de recrutement -------------------------------------------------------------------------------------------- 119
28. Maintenance de site web -------------------------------------------------------------------------------------------- 120
29. Configuration de serveur SQL --------------------------------------------------------------------------------------- 120
30. Ports de serveurs ------------------------------------------------------------------------------------------------------ 120
31. Patches et mises jour ----------------------------------------------------------------------------------------------- 121
32. Restriction dutilisation du matriel informatique professionnel -------------------------------------------- 121
33. Gestion des intrusions ------------------------------------------------------------------------------------------------ 122
34. Gestion des protocoles de communication ---------------------------------------------------------------------- 123
35. Utilisation de honey pot ----------------------------------------------------------------------------------------- 123
36. Adresses e-mails viter--------------------------------------------------------------------------------------------- 123
37. Cryptage de votre adresse e-mail ---------------------------------------------------------------------------------- 124

CONCLUSION --------------------------------------------- 125

THESAURUS DE LA SECURITE INFORMATIQUE ------------ 128

REFERENCES DOCUMENTAIRES --------------------------- 150

C oncevoir la s cur it informatiq ue en entr ep ris e Page 7


PREFACE

Ltude de la criminalit en gnral est reste longtemps un sujet mal compris ou


plutt mal apprci. En effet, lon a trop souvent rduit la lutte contre la criminalit la

cration de lois rpressives et au dveloppement doutils technologiques ou techniques


de scurit (antivol, barrires lectriques, camra de surveillance, etc.). Les travaux

criminologiques ont pourtant montr que le passage lacte dlictueux est la rsultante

dune conjugaison de facteurs tant psychologiques, sociologiques, situationnels, que

victimologiques.

Avec le dveloppement des TIC et la rapide croissance de la communaut des

internautes en Afrique, les problmes lis la scurit dans le cyberespace ont acquis

une importance plus que capitale pour les Gouvernements et aussi pour les dirigeants
dentreprises du secteur priv. En effet, le secteur priv reste le plus grand terrain de

jeu de la cyberdlinquance, puisque gnrateur de ressources financires colossales.

Mais comme dans bien des domaines, les entreprises Africaines se sont accapares de

technologies et mthodes de management, sans en matriser pleinement les contours.

Combien sont ces prestataires de services en ligne (e-commerce) et autres entreprises

plonges dans un modle de gestion numris, qui ne possdent mme pas les
rudiments basiques de la scurit informatique ?

Cet ouvrage se propose douvrir le dbat sur la conception de la scurit des systmes

dinformations pour les entreprises du secteur priv et mme des gouvernements. Loin

dtre un recueil de tutoriels et de procdures techniques inoprantes, il aborde le


concept de scurit sous un angle plus large, afin douvrir de relles pistes de

dapprhension de la conception de la scurit informatique en entreprise.

Complexes et nouvelles pour la plupart des Etats Africains, les TIC en gnral et

Internet en particulier offrent un terrain nouveau dinvestigation pour les spcialistes de

domaines traditionnellement loigns de la technique, savoir : criminologues,

C oncevoir la s cur it informatiq ue en entr ep ris e Page 8


sociologues, juristes, commerciaux, etc. La cyberscurit reste un sujet encore trs mal

connu par lopinion publique, du moins dans les pays Africains ; do la relative

difficult apporter des lments de rponses.

Le domaine de la scurit informatique reste lun des champs dapplication les plus

complexes de linformatique. Les principes techniques noncs dans louvrage manent

dune documentation slective et de conseils pris auprs dexperts en scurit

Informatique exerant au CI-CERT (Cte dIvoire Computer Emergency Response


Team) et dans des entreprises indpendantes du secteur priv.

Louvrage Concevoir la scurit Informatique en entreprise , est compos de trois

grandes parties, subdivises en titres et sous-sections (1, 2, 3, etc.) et un bonus


(thesaurus de la scurit informatique) pour les lecteurs non techniciens. Il serait

hasardeux et mme prtentieux de donner quelques conseils ou autres indications

purement techniques dans cet ouvrage, tant donn quil sappuie sur des travaux et

procds dj tablis. Cet ouvrage doit tre abord, non pas comme un recueil de
recettes magiques de scurit informatique au sens technique du terme, mais plutt

comme un outil daide la comprhension de la problmatique de la scurit

informatique en entreprise.

Il sadresse principalement aux personnes responsables quelques niveaux que ce soit

de la scurit des systmes dinformation au sein des organisations. Il est conu pour

tre accessible toutes catgories de publics, quelque en soit la formation de base, car

la scurit reste une question de responsabilit partage.

Aman Vladimir

C oncevoir la s cur it informatiq ue en entr ep ris e Page 9


INTRODUCTION

Internet, a-t-on coutume de le dire, est un espace virtuel transfrontalier offrant


dnormes opportunits, tant sur les plans conomique, scientifique, que culturel.
Comme toute socit humaine, ce monde virtuel reste soumis aux principes
fondamentaux rgissant le monde rel . Les socits humaines ont de tout temps
consentis des efforts colossaux quant ldition de rgles et de principes directeurs,
dfinissant le cadre gnral de leur fonctionnement. Ainsi, depuis les codes dUr-
Nammu et dHammourabi, jusquaux diffrents CODES (pnal, civil, etc.) de
lpoque contemporaine, lon a toujours tent dencadrer autant que possible le
fonctionnement de la socit humaine. Mais, les crimes et actes allant lencontre
des principes rigs ont toujours exist et constituent mme dans un sens, le moteur
de lappareil lgislatif.

Si son apparition nous a grandement simplifi la vie, il est indiscutable que


linformatique nous a galement apport son corolaire de problmes, inhrents
tous progrs scientifiques. De nos jours, presque tout est effectu par le biais de
linformatique : la scurit, les transactions financires, la sant, ladministration (e-
gouvernement), le divertissement, etc. Avec lavnement des rseaux et du
dveloppement des TIC, la Scurit des Systmes dInformation (SSI) est devenue
un sujet plus que capital, car de nos jours le systme dinformation (SI) est un
lment absolument vital pour la plupart des entreprises.
Au del de la stratgie commerciale et marketing proprement dite, ce qui permet
aux entreprises datteindre leurs objectifs et de distancer leurs concurrents est de
loin le SI1, qui de ce point de vue apparait comme un outil vital pour celles-ci.
La mondialisation sest avre tre un facteur dterminant dans le problme qui
nous intresse dans le cadre de cet ouvrage. En effet, la concurrence saccrot
davantage, ce qui potentialise les risques dattaques de tous genres et offre plus de
travail aux espions industriels et autres pirates informatiques.

1 Systme dInformations

C oncevoir la s cur it informatiq ue en entr ep ris e Page 10


Puisque le systme dinformation est vital pour lentreprise, tout ce qui menace sa
scurit est potentiellement mortel 2 pour lentreprise. Maitriser les risques et
prvoir autant que possible la probabilit doccurrence dincidents sur le systme
dinformation, est devenu un enjeu dterminant pour la survie des entreprises.
Toutefois, les rgles et procdures dvelopper dans une entreprise doivent tre
conditionnes par les besoins, les objectifs, la culture de celle-ci et dans une vision
plus large son environnement.
Si les entreprises semblent avoir compris la ncessit de scuriser leurs systmes
dinformations, force est de constater que nombre dentre elles ont adopt des
conceptions inadquates en salignant sur des modles emprunts a et l. Les
mesures de prvention situationnelle, prsentent certes des avantages indiscutables,
mais peut-on pour autant sen remettre exclusivement, face une criminalit
volutive et toujours plus intelligente ?
De nombreux rfrentiels en matire de scurit informatique ont t dits, mais
lon est tent de se poser les questions suivantes : La scurit Informatique peut-elle
se rsoudre lapplication de procdures techniques ? Les outils technologiques
suffisent-ils pour garantir la scurit des SI ? Peut-on parler de scurit dans cet
espace virtuel complexe quest Internet ? A-t-on connaissance des menaces internes
et des implications psycho-sociales sur la scurit ?
Telle est la problmatique fondamentale de la conception de stratgies de
scurisation des systmes dinformations en entreprise. Cest toutes ces
interrogations que nous essayerons douvrir des pistes de rflexion, dans cet
ouvrage.

2Par analogie le systme dinformations est lentreprise, cest quest que le cur lHomme. Toute
maladie affectant cet organe est potentiellement mortel.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 11


PREMIERE PARTIE
FAIRE DE LA SECURITE
INFORMATIQUE, QUELS
IMPLICATIONS ?

C oncevoir la s cur it informatiq ue en entr ep ris e Page 12


1 DEFINITIONS

1 LA SECURITE INFORMATIQUE

Cest lensemble des moyens mis en uvre pour rduire la vulnrabilit dun
systme informatique contre les menaces accidentelles ou intentionnelles auxquelles
il peut tre confront. En dautres mots, cest l'ensemble des techniques qui assurent
que les ressources du systme d'information (matrielles ou logicielles) d'une
organisation sont utilises uniquement dans le cadre o il est prvu qu'elles le
soient. Les exigences fondamentales de la scurit Informatiques se rsument
assurer:

La disponibilit : L'information sur le systme doit tre toujours disponible


aux personnes autorises.
La confidentialit : L'information sur le systme ne doit tre diffuse quaux
personnes autorises.
LIntgrit : L'information sur le systme ne doit pouvoir tre modifie que
par les personnes autorises.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 13


Dune manire gnrale, lon pourrait retenir que la mthodologie de la scurit
informatique se dfinit comme suit :

Effectuer une analyse des risques

Parce quil nest possible de se protger que contre les risques que lon ne connait !
Ceci dit, il convient pour chaque entreprise dvaluer les risques, cest--dire les
mesurer en fonction de la probabilit de leurs apparitions et de leurs effets
possibles. Les entreprises ont tout intrt valuer, quoique grossirement ces
risques et les moyens mettre en uvre, en fonction de leurs cots. La notion de
risque peut tre apprhende comme tant le produit dun prjudice par la
probabilit doccurrence de celui-ci. La notion de risques est dfinie par les
spcialistes selon lquation suivante :

Risque = Prjudice x Probabilit doccurrence

Cette formule sous-entend quun vnement dont la probabilit est assez leve
mais dont il est possible de prvenir le prjudice quil peut causer, reprsente un
risque acceptable. Il en va de mme pour un vnement la gravit imparable (ex :
effondrement dun immeuble), mais probabilit doccurrence faible. Il va de soi
que dans le premier cas, le risque ne devient acceptable que si les mesures de
prvention contre le prjudice sont effectives et efficaces.

Etablir une politique de scurit

Une fois lanalyse des risques effectue, la politique de scurit est mise en place.
Celle-ci a pour rle de:

o Dfinir le cadre d'utilisation des ressources du systme d'information;


o Identifier les techniques de scurisation mettre en uvre dans les
diffrents services de l'organisation ;
o Sensibiliser les utilisateurs la scurit informatique

C oncevoir la s cur it informatiq ue en entr ep ris e Page 14


Mettre en uvre des techniques de scurisation

Ces techniques sont la rponse aux exigences fondamentales de la scurit


Informatique dfinies plus haut. Leur rle est dassurer la disponibilit, lintgrit,
la confidentialit et dans certains cas, la prennit de linformation dans les
systmes dinformation. Les techniques de scurisation incluent notamment:

o Laudit de vulnrabilits et Tests de pntration (Pen-Test)


o La scurisation des donnes: chiffrement, authentification, contrle
d'accs
o La scurit du rseau: Pare-feu, IDS
o La surveillance des informations de scurit
o Lducation des utilisateurs
o Le plan de reprise des activits.

2 LE SYSTEME DINFORMATION

Le systme dinformation est de nos jours, au cur des stratgies commerciales,


marketing et mme de scurit, de lensemble des entreprises. A lre de
linformation, toute organisation se doit de consacrer une grande part de ses efforts,
la collecte, au traitement et la diffusion de linformation, quelle-mme gnre
du fait de son fonctionnement. Le systme dinformations se distingue du systme
informatique, dans ce sens o ce dernier nest quun composant du vaste ensemble
que constitue le systme dinformations.

Un systme dinformation est un ensemble organis de ressources ( qui peuvent tre


des donnes, des personnes, des activits ou des ressources matrielles en gnral),
permettant de collecter, regrouper, classifier, traiter et diffuser linformation de
faon adquate en fonction des besoins et objectifs dune organisation. Il est
gnralement dlimit par un primtre pouvant comprendre des sites, des locaux,

C oncevoir la s cur it informatiq ue en entr ep ris e Page 15


des acteurs (partenaires, clients, employs, etc.), des quipements, des processus,
des services, des applications et des bases de donnes.

Au sein de lentreprise, on peut distinguer plusieurs sous-systmes


dinformations qui mis ensemble, formeront le systme dinformation de
lentreprise. On peut distinguer par exemple, les systmes de traitement de
transactions (qui grent linformation concernant les transactions qui ont lieu dans
une socit), les systmes dinformation de gestion (pour rsoudre les contraintes
commerciales en gnral), les systmes dinformation dcisionnelle (ils analysent
les variables commerciales pour la prise de dcisions), les systmes dinformation
excutive (pour les directeurs et les dirigeants), les systmes dautomatisation de
bureaux (applications qui aident au travail administratif) et les systmes
dinformation spcialiss (qui mulent le comportement dun expert dun domaine
concret).

Nous retiendrons que le systme dinformations dfinit un ensemble dinterrelations


entre :

Des lments : les logiciels, le matriel, les informations (composes de


donnes, qui organises et filtres acquirent le caractre daide la
dcision).
Des actions : ensemble de lorganisation et des procdures mises en place
pour utiliser de faon optimale les lments (logiciels, informations, etc.)
Des individus : lensemble du personnel, des prestataires de services, des
partenaires, etc. En somme les individus, cest lensemble des acteurs qui
interagiront par des actions sur les lments.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 16


3 SYSTEME INFORMATIQUE

Un systme informatique est un ensemble d'quipements (matriels et logiciels)


destin au traitement automatique de l'information. Il constitue la base sur laquelle
repose un systme d'information. En gnral, il est constitu de serveurs, routeurs,
pare-feu, commutateurs, imprimantes, mdias (cbles, air, etc.), points d'accs,
stations de travail, systmes d'exploitation, applications, bases de donnes, etc. En
dautres termes, il sagit de tout le matriel informatique, qui est vou traiter
linformation.

Une information dsigne un ensemble de donnes, transformes et filtres,


auxquelles lon donne un sens par encodage, afin den permettre une
comprhension et une exploitation facile. Elle constitue un puissant outil daide la
dcision et a acquis avec le dveloppement des TICs une valeur vitale pour
lentreprise. Le traitement de l'information consiste en :

l'enregistrement de l'information (stockage dans des disques durs, serveurs,


bases de donnes, etc.)
la restitution de l'information (moniteurs, imprimantes, etc.)
la modification de l'information
la suppression de l'information

C oncevoir la s cur it informatiq ue en entr ep ris e Page 17


2
INFORMATIQUE : RVE
SECURITE

ACCESSIBLE ?

1 PEUT-ON GARANTIR LA SECURITE EN INFORMATIQUE ?

La scurit dsigne en elle mme une situation, un tat dans lequel lon nest pas en
danger. Il sagit dans une vision plus large, dun tat de tranquillit desprit inspire
par la confiance, le sentiment de ne pas tre menac. tre en scurit, cest avoir la
certitude dtre hors dtat dtre atteint par une menace quelconque. Applique au
monde informatique, cette dfinition aurait du mal sappliquer, tant les menaces
sont omniprsentes et multiformes. Hors mis les menaces extrieurs, lutilisateur
dun systme dinformation constitue lui-mme une menace pour lintgrit de ce
dernier.
Les problmes de scurit informatique peuvent de faon trs gnrale tre classs
en deux grandes catgories :
- Ceux qui concernent la scurit de lordinateur proprement dit, serveur ou
poste de travail, de son systme dexploitation et des donnes quil abrite;
- Ceux qui dcoulent directement ou indirectement de lessor des rseaux, ce
qui multiplie la quantit et la gravit des menaces.
De plus, la rsorption des vulnrabilits dun systme informatique, demeure un
enjeu crucial pour les personnes dont les donnes sont gres par un STAD

C oncevoir la s cur it informatiq ue en entr ep ris e Page 18


(systme de traitement automatis de donnes). Celle-ci repose sur un certain
nombre de principes et de mthodes numrs ci-dessous :
Dfinir le primtre de scurit
Dfinir les ressources publiques, ressources prives
Identifier et authentifier : permettre laccs aux personnes selon leurs
importance et les informations auxquelles ils souhaitent accder
Empcher les intrusions : Installer des pare-feu, filtrer les communications
rseaux, tablir des zones dmatrialises dans le rseau (DMZ), installer des
systmes de dtection dintrusion (IDS), installer des systmes de prvention
dintrusion (IPS)
Etablir une politique de dfense en profondeur 3: limiter les consquences
dune attaque russie. Lintgration du concept de dfense en profondeur
dans les techniques de scurisation des systmes dinformations, traduit
lacceptation de ce que la scurit ne peut tre totalement garantie. La
conception moderne de la protection des systmes et des rseaux sappuie sur
la notion de dfense en profondeur, par opposition la dfense rigide, o
lon mise tout sur lefficacit absolue dun dispositif de scurit unique.

Avec le dveloppement des rseaux et dInternet, linformation acquiert une place


centrale dans la stratgie des entreprises. En effet, linformation devient un vritable
trsor, voire le cur de lentreprise tant donn que tout est dmatrialis.
Pour lentreprise, la scurit informatique rpond deux grandes exigences :
Protger les informations publiques et protger les informations prives.

3 La multiplication des vulnrabilits, la gnralisation des ordinateurs portables qui se dplacent hors
du rseau de lentreprise, lusage de logiciels novateurs (code mobile, Peer to Peer (P2P), sites
interactifs, tlphonie et visioconfrence sur IP) et dautres innovations, ont ananti la notion de
primtre de scurit de lentreprise. Ceci oblige le responsable SSI considrer que la menace est
partout et peut se manifester nimporte o. Il faut continuer d'essayer dempcher les intrusions dans
le SI de lentreprise, mais le succs de la prvention ne peut plus tre garanti, raison pour laquelle il
faut se prparer limiter les consquences dune attaque russie, qui se produira forcment un jour.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 19


Protger les informations publiques

Cette catgorie dinformations est librement diffuse sur Internet, car elle
ne constitue pas une ressource protger. Cela dpend toutefois de
lactivit exerce par lentreprise. Il sagit par exemple des nouvelles offres,
des achats en ligne, de la mise jour de systmes, de logiciels, des
coordonnes du service client, du service technique, des contacts du
webmaster pour le site Internet, etc. Tout type dinformation qui ne peut
mettre en danger ni lentreprise, ni ses partenaires commerciaux, ni ses
sous-traitants ou ses clients. Il sagit de toutes informations qui ne sont pas
considres comme sensibles pour lentreprise, en tenant de la politique
Interne et des objectifs de lentreprise.

Protger les informations prives

Il sagit des informations transmises au sein de lentreprise par lIntranet,


les emails internes ou par courrier interne. Elles concernent par exemple les
rgles, les procdures et les organigrammes de lentreprise, les publications
dannuaires, le nom des systmes internes, les versions de logiciel ou
matriel utilis, etc. Afin de renforcer la scurit de lentreprise, il est plus
que ncessaire que les employs aient des outils pour se dfendre contre les
attaques et quils sachent aussi contre-attaquer en cas dattaque ou
dincident informatique avr.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 20


2 LE PARADOXE DU CONCEPT DE "SECURITE

INFORMATIQUE "

Les potentialits normes quoffrent Internet pour le dveloppement des entreprises


de tous les secteurs dactivits nest plus dmontrer. Les caractristiques
spcifiques dInternet, qui prsente la particularit dtre un espace transfrontalier
dtenu et contrl la fois par personne et par tout le monde, en font un pourvoyeur
dopportunits daffaires illimites. De nombreuses entreprises grandes ou petites,
ont trs bien compris cet dtat de fait et ont donc construit leurs modles
conomiques sur cette base. Cest le cas par exemple dentreprises interconnectes
avec leurs reprsentations dans diffrents pays du monde. Dans cette configuration,
fournisseurs, partenaires logistiques, clients, travailleurs, etc. se trouvent bien sur le
mme systme dinformation, sans tre forcment sur le mme espace
gographique. En effet, tous les acteurs de la chane partage le mme
environnement rseau mis en uvre dans le cadre des activits professionnelles,
sans pour autant se trouver sur le mme espace gographique. De plus, les
possibilits dinterconnexion des diffrents segments dune entreprise dissmine
travers le monde, sen voient dcuples avec le dveloppement incessant de
technologies toujours plus innovantes (fibre optique, cloud, etc.). Indiscutablement,
de telles architectures dentreprise nauraient jamais pu tre possibles sans Internet.

En somme, Internet ouvre des cots significativement rduits sur le monde


extrieur et attire des opportunits normes diversifies, favorisant ainsi la gense et
le dveloppement dides et de concepts novateurs en termes daffaire.

Cependant, tout ceci cre aussi de nouvelles menaces auxquelles il faudra faire face
en mme temps que lon tend son champ dactivit via le web. En effet, en oprant
dans un environnement aussi ouvert quInternet, les entreprises se trouvent
exposes des attaques qui nauraient pu avoir lieu dans un environnement
compltement ferm. Ainsi, les attaques de type 4DoS, 5DDoS, Botnet, Backdoors,

4 Denial of services : dnis de service

C oncevoir la s cur it informatiq ue en entr ep ris e Page 21


IP Spoofing, Flooding, etc, dont le fondement repose sur une attaque gnralement
perptre depuis lextrieur, nauraient simplement jamais existes. De lautre cot,
elles dveloppent des opportunits daffaire qui auraient t inexploitables aux
mmes cots dans un environnement ferm.

Dun point de vue marketing et commercial, les entreprises et organisations sont


contraintes, sous leffet de la concurrence et de la diversit des marchs, de
dvelopper des stratgies nouvelles en proposant des services valeur ajoute, pour
booster leurs chiffres daffaires. Ceci dit, Internet et les TIC apparaissent de loin
comme le canal privilgi pour cette nouvelle guerre des marchs .

En rsum, lheure des TIC et du web 2.0, la tendance est plutt vers louverture,
ce qui implique ncessairement une volution des menaces cybercriminelles, do la
ncessit de mettre un accent particulier sur les politiques de scurit Informatique.

5 Distributed deny of services : Dni de service distribu, (voir Thesaurus de la Scurit Informatique)

C oncevoir la s cur it informatiq ue en entr ep ris e Page 22


3 RISQUES ET ENJEUX DE LA
SECURITE INFORMATIQUE EN
ENTREPRISE

1 LES RISQUES

Un risque permet de mesurer les possibilits de loccurrence dun vnement,


associ une situation ou une activit. De lautre cot, un enjeu est grossirement
ce que lon peut gagner ou perdre en posant un acte. Dans le cas de la scurit
informatique en entreprise, il sagit plutt de ce que lon peut perdre, en labsence
de moyens adquat de scurisation. Lorsque lon voque les risques susceptibles
dengendrer un incident informatique sur le Systme dInformation dune
entreprise, on distingue deux grandes catgories :

Les risques physiques


Les risques logiques

1. Les risques physiques

Il sagit de toutes les atteintes physiques directes dont peut tre victime un systme
dinformations au cours de son cycle de vie. On les appelle galement risques
matriels, parce quils ont trait lintgrit du matriel. Il sagit entre autres
dvnements tels que:

C oncevoir la s cur it informatiq ue en entr ep ris e Page 23


Incendies, explosion, effondrement
Dommages lectriques, foudre
Temptes, inondations, vnements naturels
Bris de machines, vol, actes de vandalisme
Dfaillance matrielle

Ces risques physiques peuvent tre dorigine accidentelle ou malveillante et les


consquences sont aisment identifiables. Ces incidents dtriorent les ressources
matrielles du systme dinformation et peuvent avoir un impact direct sur les actifs
informationnels que contiennent les systmes informatiques.

Les risques physiques constituent dans la conception traditionnelle de la scurit,


les premires sources dinquitude des responsables dentreprise en termes de
scurit, mme si en pratique, ils ne reprsentent quun faible pourcentage des
sinistres informatiques enregistrs en entreprise.

2. Les risques logiques

Avec le dveloppement fulgurant de linformatique distribue 6par opposition


linformatique centralise, les donnes et les applications ont acquis une importance
plus grande. En effet, lon assiste une migration progressive de la valeur du
matriel vers la valeur des donnes et des applications. Le dveloppement du
7
Cloud Computing est lune des illustrations les plus expressives de cette tendance.
La question principale est de savoir comment valuer et analyser la valeur de ce qui
nest pas physique, donc immatriel c'est--dire la donne.

Cest pour rpondre cette question que sont apparues les notions daccident,
derreur et de malveillance, directement issues des mthodes danalyse des risques
dveloppes ces dernires annes.

6 Linformatique distribue correspond la structure de la socit humaine, en rseau, o chacun est diffrent et
avance son rythme
7 Informatique dans les nuages

C oncevoir la s cur it informatiq ue en entr ep ris e Page 24


Laccident : Il sagit l dun vnement perturbant les donnes ou les flux de
donnes, en labsence de dommages physiques aux quipements (altration
physique du matriel).

Lerreur : Il peut sagir dune erreur de conception, de programmation, de


paramtrage ou de manipulation des donnes et de leurs supports. Lerreur dsigne
des prjudices conscutifs lintervention humaine dans le processus de traitement
automatis des donnes. Elles constituent les risques les plus frquents dans le cycle
de vie dun systme dinformation en entreprise.

La malveillance : Il sagit de tous actes traduisant la volont manifeste de son


auteur de faire usage, sans autorisation dun systme dinformation, avec des
intentions prjudiciables. Le virus informatique et lacte de malveillance le plus
mdiatis, quoiquil en existe une trs grande diversit (Botnet, Chevaux de Troie,
etc.).

De nos jours, les enjeux normes mis en lumire par lintelligence


conomique, ont modifi le statut de la donne informatique pour en faire de
linformation . La valeur de linformation nest plus statique comme ctait le
cas des annes en arrire, mais elle fluctue au gr de sa ncessit, son
environnement et bien dautres facteurs. Ceci dit, une information peut reprsenter
un enjeu stratgique plus ou moins important dans des dlais trs courts en fonction
de divers facteurs environnementaux. La liste des risques logiques courus par une
entreprise est norme, mais nous nous limiterons dresser dans le cadre de cet
ouvrage, une liste non exhaustive de ces risques que lon a regroup en quatre
catgories :

Vol dinformations : Avec Internet, le vol sen trouve dmatrialis, tant donn
que lobjet drob est une valeur virtuelle, voire abstraite. Il sagit pour lentreprise
de risques tels que : espionnage industriel, vol des listes des clients, vol
dinformations comportant des donnes personnelles de clients ou du personnel, vol
des plans ou les recettes des productions, vol de la comptabilit.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 25


Usurpation didentit : Utilisation du compte dun client ou dun partenaire,
utilisation des identifiants dune personne de lentreprise des fins malveillantes,
etc. Une usurpation didentit peut avoir des consquences normes sur limage de
marque dune entreprise.

Intrusions et utilisation des ressources systmes : Il sagit de : Utilisation des


ressources de lentreprise afin lancer des attaques informatiques (machines zombies,
botnet, etc.), corruption de base de donnes, etc.

Mise hors service des systmes et des ressources informatiques : Surcharge du


site web ou du serveur de messagerie de lentreprise (DoS, DDoS, mail bombing),
virus, attaque du rseau de lentreprise.

Par exemple, une personne mal intentionne inonder le serveur dune entreprise de
requtes, jusqu ce que celui-ci ne soit en mesures de rpondre aux requtes et
sarrte de fonctionner ; rendant ainsi indisponible le Site web de lentreprise
pendant de longues heures.

2 LES ENJEUX

Les risques numrs plus haut peuvent avoir un impact direct ou indirect sur
lentreprise par lentremise des diffrents utilisateurs du Systme dInformation que
sont ses clients, ses employs ou ses partenaires daffaires.

En considrant que linformation est la rsultante de lutilisation du matriel, des


logiciels et des donnes contenues dans le SI, la notion dimpact est divise en
quatre familles :

Impact sur la disponibilit de linformation


Impact sur lintgrit de linformation

C oncevoir la s cur it informatiq ue en entr ep ris e Page 26


Impact sur la confidentialit de linformation
Impact sur la preuve ou la traabilit

Les consquences dincidents informatiques peuvent tre normes et avoir une


rpercussion trs significative sur lensemble de lactivit dune entreprise. On les
classe gnralement en quatre catgories, en tenant compte des quatre familles
dimpact susmentionnes.

1. Sur le plan financier

La perte de valeur et de biens, Cot dimmobilisation de lentreprise entrainant un


ralentissement des activits en raison de pannes informatiques ou lectroniques,
perte de production, etc.

Cot du temps pass : recherche de lorigine de lattaque, rparation, restauration


des donnes, ressaisies des donnes perdues, rinstallation des programmes
informatiques, reconfiguration des serveurs

Cots techniques : remplacement dun disque dur et de tout autres matriels


informatiques, honoraires dexperts pour la rsolution de problmes complexes,
hausse des tarifs dassurances, etc.

2. Atteinte limage

Dans le cas dun incident informatique, lune des consquences les plus difficiles
valuer reste le ressentiment que peuvent avoir les clients, vis--vis de la confiance
quinspire les produits et services. La dgradation de limage de marque et perte de
la crdibilit sont des consquences absolument dommageables pour lentreprise,
surtout en labsence dune politique de gestion de communication de crise efficace.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 27


3. Sur le plan humain

Sur le plan humain, les consquences dincidents informatiques peuvent induire un


risque vital pour lemploy. Exemple dun employ qui en arrive se donner la
mort, culpabilisant du fait que linfection du rseau informatique et les
consquences qui sen soient suivies, soit survenue du fait de son imprudence ou de
sa ngligence. De tels dnouements dramatiques en entreprise, peuvent entrainer
une raction la chane qui se traduirait par une dsorganisation du personnel,
impact psychologique trs fort sur les collgues, baisse de la performance, etc.

Les consquences sur le plan humain peuvent tre faciles contenir, travers une
politique de suivi social et daccompagnement des employs.

4. Sur le plan juridique

En cas dincident informatique, la responsabilit civile et pnale de lentreprise vis-


-vis dautrui, des contractants, des clients, des partenaires, des autorits, etc., peut
tre engage et avoir des rpercussions trs lourdes sur la vie de lentreprise
(paiement damendes, retrait dautorisations, agrments, etc.). Des lgislations plus
avances en matires de cyberscurit prvoient des sanctions trs lourdes pour des
entreprises dont le systme non ou mal scuris cause un prjudice aux utilisateurs
de ses services (clients de banque par exemple).

C oncevoir la s cur it informatiq ue en entr ep ris e Page 28


4 SECURITE INFORMATIQUE :
PLUS QUUN CONCEPT
STRATEGIQUE, UNE QUESTION DE
GOUVERNANCE

La notion de gouvernance dentreprise est un concept rcent qui est apparu dans le
dbut des annes 1990. La gouvernance dentreprise peut tre dfinie comme
lensemble des rgles permettant aux actionnaires ou partenaires de sassurer que
les entreprises dont ils dtiennent des parts ou dans lesquelles ils ont un intrt
particulier, sont diriges en conformit avec les visions et objectifs fixs par
consensus.
Par exemple, lintrt de la nation est fortement engag en ce qui concerne limpact
de la cybercriminalit sur les entreprises publiques et mme prives des secteurs
stratgiques et critiques (nergie, sant, banque, etc.) au plan national. De ce point
de vue, lEtat apparait comme un partenaire de premier ordre des autres acteurs du
secteur priv, en ce qui concerne la cyberscurit nationale.
Si les systmes juridiques, les cadres institutionnels, les habitudes et les cultures
diffrent selon les pays, lune des questions fondamentales laquelle ils sont tous
confronts est de savoir comment faire en sorte que les dirigeants des entreprises
prives, agissent au mieux des intrts des actionnaires dont lEtat figure au premier
rang. A ce sujet, les pays dit industrialiss ont compris la ncessit de contrler

C oncevoir la s cur it informatiq ue en entr ep ris e Page 29


les dirigeants du secteur priv, en mettant en uvre des mesures rglementaires et
organisationnelles en matire dencadrement de la scurit dans le secteur des TIC.

1 LOIS ET CONVENTIONS

1. La loi Sarbanes-Oxley

La loi Sarbanes-Oxley, des noms respectifs des deux snateurs Paul Sarbanes et
Michael G. Oxley, a t adopte par le congrs Amricain en Juillet 2002. Cette loi,
aussi dnomme Public Company Accounting Reform and Investor Protection Act
of 2002 ou plus simplement SOX ou Sarbox, est la rponse aux multiples scandales
comptables et financiers : Enron, Tyco International ou encore WorldCom.
L'application de cette loi entre en vigueur pour toutes les entreprises Amricaines
cotes au NASDAQ ainsi que leurs filiales l'tranger. Chacune d'entre elle doit
certifier ses comptes auprs de la Securities and Exchanges Commission (SEC),
l'organisme de rgulation des marchs financiers Amricains. Cette loi prend en
compte les aspects suivants :

La gestion des mots de passe


Le niveau de scurit des mots de passe ;
La vrification du changement des mots de passe tous les six (06) mois
L'tude des notes dlivres par le responsable scurit aux employs sur la
politique des choix de mots de passe
Un exemple concret de test consisterait valuer la scurit des mots de
passe de 30 utilisateurs, et identifier la proportion de mots de passe faibles.

L'tude de rseau informatique


Vrification de l'authentification des accs VPN ;
Protection du rseau interne par 2 niveaux de pare-feux ;

C oncevoir la s cur it informatiq ue en entr ep ris e Page 30


Contrle et journalisation des accs Internet ;
Signature d'une charte de bon usage d'Internet ;
Authentification des utilisateurs pour accder Internet ;
Rvocation des certificats lors du dpart des collaborateurs

La gestion des Antivirus et des correctifs


Effectuer un filtrage efficace sur les serveurs de mails afin d'viter toute
propagation de vers et de fichiers malicieux sur le rseau interne.
Analyse virale de tous les messages qui transitent par le serveur SMTP.
Un contrle des mises jour doit tre effectu chaque mois par un
responsable informatique.

Plan de reprise en cas de dsastres


Cet aspect a pour objectif d'valuer les capacits de l'entreprise faire face
un incident grave.
Sauvegarde des serveurs principaux
Externalisation des supports de sauvegarde.
Rdaction d'un document de procdure de restauration pour chaque serveur.

La scurit des applications ERP 8

La scurit des ERP constitue un point cl de la loi Sarbanes-Oxley. Elle prvoit


entre autres :

Contrles stricts de l'accs : attribution de droits aux utilisateurs des


diffrentes ressources.
Utilisation de mots de passe longs et une authentification tablie toutes les 15
minutes lorsque l'application n'est pas utilise.
Accessibilit des donnes seulement aux utilisateurs autoriss.

8 ERP : Enterprise Resource Planning (ERP) ou Progiciel de Gestion Intgr (PGI) est un
logiciel qui permet de grer lensemble des processus dune entreprise, en intgrant toutes
les fonctions de cette dernire comme la gestion des ressources humaines, la gestion
comptable et financire, laide la dcision, mais aussi la vente, la distribution,
lapprovisionnement, le commerce lectronique.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 31


La gestion des ordinateurs portables

Il est ncessaire de prendre des mesures prcises, afin dviter toute perte et vol de
donnes ou linfection du rseau par des virus.

Prsence dun pare-feu personnel sur chaque ordinateur portable


Activation par dfaut de lexcution des mises jour des anti-virus, des
logiciels et du systme dexploitation

Les sauvegardes
Sauvegarde des serveurs et des postes sensibles.
Spcification de la dure de rtention des sauvegardes en fonction de chaque
entreprise.
Ralisation de tests de restauration tous les quatre six mois.

La journalisation & Audits


Vrification de l'existence des fichiers de logs des serveurs mails, des
navigateurs internet, des accs VPN?
Traabilit des accs aux applications financires et ressources humaines
Sauvegardes des e-mails conserves durant 1 mois minimum (destinataire,
l'envoyeur, le sujet, la date et l'heure et l'IP)

La gestion des vulnrabilits


Raliser des tests de vulnrabilits chaque mois sur les serveurs critiques,
assortis de rapports crits par les responsables de la scurit.

La scurit physique
Rglementer de manire stricte l'accs aux btiments et aux ressources
informatiques.
Contrle et restriction des accs aux diffrentes zones de l'entreprise via un
systme de contrle.
Passage obligatoire des visiteurs par l'accueil pour tre enregistrs.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 32


Protection des salles des serveurs informatiques par un lecteur de badges

La scurit des btiments


Protger les btiments contre les incendies et scuriser les flux afin d'viter
les vols de donnes.
Affichage du plan d'vacuation chaque tage.
Ralisation d'un test d'vacuation d'urgence une fois par an.
Prsence d'alarmes incendies ainsi que de portes anti-feu dans chaque
btiment

2. Les accords de Ble

Ils ont pour objectif de contrler lensemble des risques auxquels les tablissements
bancaires/financiers sont soumis. Ces accords spcifiques aux tablissements
financiers Ble I, II, III, en raison de leur grande maturit en matire de gestion des
risques, se rapprochent ainsi de rglementations plus gnriques comme la loi
Sarbanes-Oxley prcite. La dernire version de ces accords en cours dapplication
est Ble II. Ces accords ont pour objectif de mieux apprhender les risques
bancaires et permettre une gestion plus fine des risques en phase avec la ralit
conomique.

Ils sappuient sur trois piliers essentiels :

Exigence de fonds propres


Surveillance de la gestion des fonds propres
Transparence

C oncevoir la s cur it informatiq ue en entr ep ris e Page 33


3. Le standard PCI DSS 9

Ce standard est destin aux plus importantes entreprises de carte de dbit et crdit. Il
s'agit en ralit d'un guide de 12 rglements qui aident les entreprises mettrices de
cartes de paiement protger leurs donnes et prvenir les fraudes. Ces douze
rglements sont :

Installer et grer une configuration de pare-feu afin de protger les donnes


des titulaires de carte ;
Ne pas utiliser les paramtres par dfaut du fournisseur pour les mots de
passe et les autres paramtres de scurit de systme ;
Protger les donnes des titulaires de cartes stockes ;
Crypter la transmission des donnes des titulaires de carte sur les rseaux
publics ouverts ;
Utiliser et mettre jour rgulirement un logiciel antivirus ;
Dvelopper et grer des applications et systmes scuriss ;
Limiter laccs aux donnes des porteurs de carte aux cas de ncessit
professionnelle absolue ;
Attribuer une identit dutilisateur unique chaque personne disposant dun
accs informatique ;
Limiter laccs physique aux donnes des titulaires de carte ;
Suivre et surveiller tous les accs aux ressources du rseau et aux donnes
des titulaires de carte ;
Tester rgulirement les systmes et procdures de scurit ;
Disposer dune politique rgissant la scurit de linformation.

9PCI DSS (Payment Card Industry Data Security Standard) est un standard de scurit des
donnes, pour les industries de carte de paiement cr par le comit PCI SSC.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 34


4. La norme ISO 27001

La srie ISO 27000 est dcline en plusieurs sous-normes indices, thmatiques et


sectorielles ddies la scurit de linformation. Il traite aussi bien de la gestion
des risques que du pilotage de la fonction (indicateurs et tableaux de bord).

Thmatique de lensemble ISO 27000, ISO 27001 est une norme d'origine
britannique ddie au systme de management de la scurit de l'information. La
norme ISO 27001 est oriente processus et propose en toute logique une dmarche
d'amlioration continue de type PDCA et constitue le standard principal dcrivant
les exigences d'un systme de pilotage de la scurit des informations. Le PDCA ou
roue de deming propose 4 temps : Plan- Do- Check -Act ou Planification,
Dploiement, Contrle et Action.

i. Planification (Plan): Etablir le SMSI (Systme de Management de la


Scurit de lInformation) :

La planification consiste laborer la politique de scurit des SI, dterminer le


primtre d'intervention, dfinir les objectifs, analyser et matriser les risques.
Lentreprise doit respecter les points de contrles suivants :

- Dfinir le champ dtaill dapplication du SMSI (processus mtiers,


organisation, location, biens, technologies) ;
- Dfinir la politique du SMSI ;
- Dfinir lapproche dvaluation des risques (mthode, critre
dacceptation, etc.) ;
- Identifier les risques (biens traits, menaces, vulnrabilits potentielles,
impacts) ;
- Analyser et valuer les risques (impact mtier, probabilit, gravit) ;
- Dfinir la stratgie de traitement des risques (transfert, accepte, etc.) ;
- Dfinir les mesures (objectifs, points de contrle) de limitation des
risques;

C oncevoir la s cur it informatiq ue en entr ep ris e Page 35


- Obtenir laccord du management sur la stratgie de traitement des
risques;
- Obtenir laccord du management pour implmenter le SMSI ;
- Formaliser la stratgie de traitement des risques (choix des mesures
mettre en uvre, liste des mesures dj appliques, justification de
llimination de points de contrle).

ii. Dploiement (Do): Mettre en place et exploiter le SMSI

Il sagit ici dtablir le plan et dploiement des mesures de scurit, laboration et


application des procdures spcifiques, sensibilisation et formation, slection des
indicateurs et ralisation des tableaux de bord scurit. Lentreprise doit respecter
les points de contrles suivants:

- Dfinir un plan dactions de traitement des risques (mesures de


protection, ressources, responsabilits, priorit, etc.) ;
- Organiser le dploiement du plan dactions de traitement des risques ;
- Dployer les points de contrle et les mesures de protection ;
- Dfinir la stratgie de suivi et de mesure de lefficacit des actions
- Dployer un programme de formation et de sensibilisation ;
- Piloter et grer les aspects oprationnels du SMSI ;
- Mettre en uvre des procdures et des moyens de dtection et de
traitement des incidents.
- Rvaluer rgulirement les risques ;
- Effectuer rgulirement des audits du SMSI ;
- Organiser le suivi du SMSI au niveau du Management (Direction
Gnrale) ;
- Adapter et mettre jour le plan dactions scurit (prendre en compte les
indicateurs de suivi defficacit) ;
- Enregistrer les actions et les vnements qui peuvent avoir un impact sur
lefficacit du SMSI.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 36


iii. Contrle (Check): Contrler et valuer le SMSI

A ce niveau, il sagit de raliser des audits et contrles internes et aussi des revues.
Lentreprise doit respecter les points de contrles suivants :

a) Mettre en uvre les procdures et les moyens de suivi (dtection


derreurs, suivi des incidents, des tentatives dexploitation de failles,
contrle des performances humaines et technologiques, etc.) ;
b) Organiser le suivi de lefficacit du SMSI, en prenant en compte les
rsultats daudit, les relevs dincidents, les mesures defficacit, les
suggestions et avis des intervenants dans le SMSI, etc.)
c) Mesurer et contrler lefficacit des mesures dployes ;

iv. Action (Act): Soutenir et amliorer le SMSI

Cest la dernire tape du processus PCDA, qui consiste appliquer les actions
correctives, identifier des voies d'amlioration et raliser le bouclage. Lentreprise
doit respecter les points de contrles suivants :

a) Implmenter les modifications identifies dans le SMSI ;


b) Prendre des mesures correctives et prventives (prendre en compte les
retours dexprience internes ou externes) ;
c) Communiquer sur les mesures et les adaptions du SMSI aux personnes
impliques ;
d) Vrifier que les correctifs/modifications rpondent aux objectifs fixs.

5. La norme ISO 27002

La norme ISO/CEI 27002 est compose de onze sections principales, qui couvrent
le management de la scurit aussi bien dans ses aspects stratgiques que dans ses
aspects oprationnels. Chaque section constitue un chapitre de la norme :

C oncevoir la s cur it informatiq ue en entr ep ris e Page 37


Chapitre 1 : Politique de scurit
Chapitre 2 : Organisation de la scurit de l'information
Chapitre 3 : Gestion des biens
Chapitre 4 : Scurit lie aux ressources humaines
Chapitre 5 : Scurit physique et environnementale
Chapitre 6 : Gestion des communications et de l'exploitation
Chapitre 7 : Contrle d'accs
Chapitre 8 : Acquisition, dveloppement et maintenance des systmes
d'information
Chapitre 9 : Gestion des incidents lis la scurit de l'information
Chapitre 10 : Gestion de la continuit d'activit
Chapitre 11 : Conformit lgale et rglementaire

Mme si les seulement deux normes ont t prsentes dans le cette section, il faut
savoir que lensemble ISO 27000 est constitu de 12 thmatiques.

Date
Intitul Statut Domaine
publication/rvision

Systmes de management de la scurit


ISO/CEI
publi 2009 de l'information Vue d'ensemble et
27000
vocabulaire

ISO/CEI Systme de Gestion de la Scurit de


publi 2013
27001 l'Information (ISMS) Exigences

Code de bonnes pratiques pour la


ISO/CEI gestion de la scurit de l'information
publi 2013
27002 (anciennement ISO/CEI 17799)

Systme de Gestion de la Scurit de


ISO/CEI l'Information (ISMS) Guide
publi
27003 d'implmentation

C oncevoir la s cur it informatiq ue en entr ep ris e Page 38


Mesure de lefficacit la scurit de
ISO/CEI
publi l'information mise en uvre
27004

Gestion du risque en scurit de


ISO/CEI
publi 2009 l'information
27005

Exigences pour les organismes ralisant


l'audit et la certification de Systmes de
ISO/CEI
publi 2008 Gestion de la Scurit de l'Information
27006
(ISMS)

Guide pour l'audit de Systmes de


ISO/CEI Gestion de la Scurit de l'Information
publi
27007 (ISMS)

Lignes directrices de vrification en


ISO/CEI matire de mesures de scurit
publi
27008 concernant ISO 27002

Guide pour l'implmentation de


ISO/CEI ISO/CEI 27002 dans l'industrie des
publi 2008
27011 tlcommunications

Code de bonnes pratiques en matire


de Technologies de linformation
Techniques de scurit Lignes
ISO/CEI directrices pour mise en tat des
publi 2012
27031 technologies de la communication et de
linformation pour continuit des
affaires

Informatique de sant - Gestion de la


scurit de l'information relative la
ISO/CEI
sant en utilisant l'ISO/CEI 27002
27799

Tableau 1: Tableau rcapitulatif des normes de la srie ISO 27000

C oncevoir la s cur it informatiq ue en entr ep ris e Page 39


Projet Domaine

ISO/CEI 27010 Gestion de la communication inter secteur


ISO/CEI 27031 Continuit dactivit
ISO/CEI 27032 Cyber scurit
ISO/CEI 27033 Scurit rseau
ISO/CEI 27034 Scurit des applications
ISO/CEI 27035 Gestion des incidents
ISO/CEI 27036 Audit des mesures de scurit du SMSI
ISO/CEI 27037 Gestion des preuves numriques

Tableau 2: Tableau rcapitulatif des normes ISO en projet

2 LES METHODES DE SECURITE

1. EBIOS (Expression des Besoins et Identification des Objectifs


de Scurit)

Cette mthode fait partie dune srie de guides mthodologiques publis par la
direction centrale de la scurit des systmes dinformation (DCSSI)10 du ministre
de la dfense franaise. Elle est notamment prconise dans ladministration
franaise et dans les entreprises. Cette mthode, cre en 1995, se compose de cinq
guides (Introduction, Dmarche, Techniques, Outillages pour lapprciation des
risques et Outillages pour le traitement des risques) et dun logiciel support
permettant la mise en uvre de la mthode. Le logiciel a accs une base de
connaissances donnant accs la description d'un ensemble de vulnrabilits

10LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre par le


dcret n 2009-834 du 7 juillet 2009 (Journal officiel du 8 juillet 2009), sous la forme dun
service comptence nationale. Elle est rattache au Secrtaire gnral de la dfense et de la
scurit nationale (SGDSN), autorit charg dassister le Premier ministre dans lexercice de
ses responsabilits en matire de dfense et de scurit nationale.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 40


spcifiques, de contraintes de scurit, de mthodes d'attaques. EBIOS apprhende
les risques de scurit en tenant compte des trois blocs interdpendants des concepts
de gestion prsents en amont. La mthode travaille par construction du risque,
adoptant une prise en compte du contexte de lorganisation cible, en privilgiant le
primtre du SI, les lments essentiels, les fonctions et les informations
(correspondant aux ressources business) et enfin les entits (ressources systme). La
seconde phase de la mthode permet de dgager les besoins via une grille des
services souhaits de scurit. Le risque adapt lorganisation est ainsi construit et
renforc par la prise en compte relative des vulnrabilits et des menaces
sappliquant sur les ressources juges critiques.

De linterdpendance entre ces phases se dcline ensuite naturellement la dfinition


des exigences de scurit de haut-niveau (appeles ici objectifs ), puis de bas-
niveau (appeles exigences ), conformment ISO 15408 et ISO 17799. Cette
dernire phase permet de slectionner les bonnes contremesures strictement
adaptes aux besoins de lorganisation. Tous les concepts prsents dans la
premire partie sont donc prsents, malgr des diffrences de terminologie. Quant
au processus de gestion des risques, les phases 5 et 6 vues prcdemment ne sont
pas rellement dveloppes, ce qui ne permet pas de valider vritablement le cycle
thorique dans son ensemble. Dans ce cas, certains considrent alors EBIOS
exclusivement comme une mthodologie danalyse des risques.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 41


Etude de
contexte

Expression des Etude des


besoins de menaces
scurit

Identification des
besoins de scurit

Expression des
exigences de
scurit

Figure 1: Schma mthode EBIOS

2. OCTAVE (Operationally Critical Threat, Asset, and


Vulnerability Evaluation)

Cest une mthode dvaluation publie par le SEI (Software Engineering Institute)
de la Carnegie Mellon University de Pittsburgh aux tats-Unis, universit trs
reconnue dans le domaine de la scurit. En se basant sur les travaux du CERT 11

Amricain, lquipe du SEM (Survivable Enterprise Management) a dvelopp


cette mthode dvaluation des vulnrabilits, des menaces, et des actifs
oprationnels critiques. Lensemble de la mthode est public et maintenu par
luniversit. La mthode OCTAVE se compose en trois phases:

1) Vue organisationnelle,
2) Vue technique,
3) Dveloppement de la stratgie de scurit.

11 Computer Emergency Response Team (US CERT)

C oncevoir la s cur it informatiq ue en entr ep ris e Page 42


Elle est centre sur la protection des actifs de l'entreprise et le management du
personnel. Elle couvre l'ensemble des processus mtiers de l'entreprise aux niveaux
organisationnel et technique. Cette mthode suppose la constitution d'une quipe
pluridisciplinaire comprenant des membres de tous les services de l'entreprise. Elle
leur permettra d'amliorer leur connaissance de leur entreprise et de mutualiser les
bonnes pratiques de scurit.

Phase 1 : Phase 2 : Phase 3 :

Prparation Vue Vue Dveloppement


organisationnelle technologique de la stratgie

Figure 2: Schma mthode OCTAVE

3. MEHARI (Mthode Harmonise d'Analyse des Risques)

MEHARI est une mthode d'analyse des risques mise au point en 1996 par le Club
de la scurit de l'information franais (CLUSIF). Elle s'inspire de la mthode
MARION, elle aussi mise au point par le CLUSIF.

MEHARI a pour but d'aider les entreprises et organismes scuriser leurs systmes
d'information. Elle est trs utilise en France, en Europe et galement au Qubec.
La dmarche gnrale de MEHARI consiste diagnostiquer ltat de la scurit,
l'analyse des enjeux de scurit avec une classification pralable des entits du
systme dinformation en fonction de trois critres de scurit de base
(confidentialit, intgrit, disponibilit). MEHARI dispose galement dune base de
connaissance des services de scurit et pourra tre employe pour btir un
rfrentiel de scurit (politique de scurit) contenant lensemble des rgles de
scurit respecter dans lentreprise. MEHARI demeure une des mthodes
danalyse des risques les plus utilises actuellement. Elle est drive de deux autres
mthodes danalyse des risques (MARION et MELISA).

C oncevoir la s cur it informatiq ue en entr ep ris e Page 43


MEHARI est maintenue en France par le CLUSIF (Club de la Scurit des
Systmes dInformation Franais), via notamment le Groupe de Travail ddi
cette mthode. Cette mthode se prsente comme une vritable bote outils de la
scurit des SI, permettant dapprhender le risque de diffrentes manires au sein
dune organisation, et compose de plusieurs modules. Ces derniers,
indpendamment de la dmarche scurit choisie, permettent notamment :

Danalyser les enjeux de la scurit (en dcrivant les types de


dysfonctionnements redouts) et, corrlativement, de classifier les ressources
et informations selon les trois critres de scurit de base (Confidentialit,
Intgrit, Disponibilit).
Dauditer les services de scurit, de manire prendre en compte
lefficacit de chacun, son contrle, et de synthtiser les vulnrabilits.
Danalyser les situations de risques, permettant dvaluer les potentialits
et les impacts intrinsques, ainsi que les facteurs dattnuation de risque,
puis, enfin, de dduire un indicateur de gravit de risque. MEHARI prsente
une grande diversit dans lutilisation de ses modules.

Trois approches se dtachent plus particulirement :

a) En se basant sur une analyse dtaille des risques, il est possible de mettre
en uvre des plans de scurit. Cette dmarche se dcline au niveau
stratgique, mais aussi oprationnel.
b) En se basant sur laudit de scurit, ou plus prcisment aprs un
diagnostic de ltat de scurit, la ralisation de plans dactions est
facilite. En effet, des faiblesses releves dcoulent alors directement, les
actions entreprendre.
c) Dans le cadre de la gestion dun projet particulier, il faut tenir compte de
la scurit, en se basant sur lanalyse des risques et ainsi faciliter
llaboration de plans daction. Les besoins de scurit sont alors
directement intgrs aux spcifications du projet, et intgrer dans le
plan de scurit global de lentit concerne. Cette mthode saligne avec

C oncevoir la s cur it informatiq ue en entr ep ris e Page 44


les deux premires en termes de couverture du processus de gestion des
risques.

Figure 3: Schma mthode MEHARI

4. CRAMM (CCTA Risk Analysis and Management Method)

CRAMM a t invente par la compagnie Siemens et l'agence centrale de traitement


des donnes et des tlcommunications du gouvernement Britannique. Il sagit
dune mthode danalyse qualitative du risque et un outil de management
dveloppe par lAgence centrale de linformatique et des Tlcommunications du
gouvernement britannique. Conforme aux normes BS7799 et ISO 17799, CRAMM
est applicable toutes les tapes du cycle de vie du systme dinformation de tout
organisme. CRAMM est constitue de trois tapes :

ltablissement des objectifs de la scurit (identification et valuation de


lexistant),

C oncevoir la s cur it informatiq ue en entr ep ris e Page 45


valuation des menaces et des vulnrabilits,
slection des remdes (contremesures) et recommandations.

CRAMM est payante et propose une base de connaissance (librairie) trs riche
contenant plus de trois milles contre-mesures dtailles, organises en soixante dix
groupes logiques. CRAMM fournit aussi des logiciels pour la mise en uvre de la
mthode qui permettent de faire des simulations, des rapports et le suivi des
mesures (contre-mesures) de scurit. Il existe deux variantes de CRAMM,
savoir :

CRAMM Express : qui permet de faire un tat de la scurit du SI en limitant


les points de contrle (contre-mesures) contrle
CRAMM Expert : qui se positionne comme loutil de scurit de
linformation professionnel, pour raliser des analyses dtailles des risques,
y compris ceux destins soutenir la conformit ISO 27001 ou les
programmes de certification.

5. ITIL (Information Technology Infrastructure Library)

Lacronyme traduit en franais donne une ide plus claire de ce quest ITIL,
Information Technology Infrastructure Library ou bibliothque dinfrastructure des
technologies de linformation. Il sagit dune bibliothque, ensemble de livres dans
lesquels sont reprises et consignes de nombreuses pratiques, procdures et
mthodes permettant de grer les systmes dinformation.
Contrairement celles prcites, ITIL nest pas une mthode mais un grand recueil
des meilleures pratiques , mais qui utilise certaines des mthodes (EBIOS,
MEHARI, etc.).
ITIL prsente un ct trs flexible qui permet de ladapter trs facilement la ralit
rencontre dans une entreprise donne. Cette caractristique constitue lune des
raisons de son grand succs au niveau mondial. En outre, depuis janvier 2006 ITIl
est couple avec la norme ISO 20000 reposant sur la norme britannique BS 15000.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 46


La philosophie dITIL repose sur quatre concepts fondamentaux :
Le premier dentre eux est la prise en compte de lattente du client dans la
mise en uvre des services informatiques que les anglophones appellent le
Customer Focus
Le second principe correspond aux cycles de vie des projets informatiques
qui doivent intgrer ds leur naissance les diffrents aspects de la gestion des
services informatiques
Le troisime concept fondateur prconise la mise en place des processus
ITIL interdpendants permettant dassurer la qualit des services.
Le quatrime et dernier principe correspond la mise en place dune
dmarche qualit pour les services installs et dune mesure de cette qualit
effectue du point de vue des utilisateurs

C oncevoir la s cur it informatiq ue en entr ep ris e Page 47


DEUXIEME PARTIE

LA SECURITE NEST PAS


SEULEMENT UN ENJEUX
TECHNOLOGIQUE

C oncevoir la s cur it informatiq ue en entr ep ris e Page 48


Protger les informations sensibles de lentreprise contre des manipulations non
autorises et empcher la divulgation par les personnes qui y ont lgitimement
accs, est devenu une proccupation majeure pour toutes les entreprises grandes
ou petites. Employs, dirigeants, partenaires, clients, etc., constituent une menace
potentielle importante pour lentreprise, vu leurs connaissances et leurs accs
autoriss aux systmes dinformations. De nombreuses organisations rduisent la
scurit de leurs systmes dinformations la mise en place de pare-feu et
dinstallations de solutions antivirales. Or, ces dispositifs savrent tre totalement
inefficaces quand il sagit par exemple dattaques de type Ingnierie sociale ou
Social Engineering . En effet dans certains cas, pour obtenir des informations aussi
critiques soient-elles, il suffit juste de le demander aux personnes qui les dtiennent
comme cela se fait dans lingnierie sociale. Des attaques informatiques
sophistiques ayant comme pr-requis un bagage technique volu et des outils
technologiques de pointe, ne sont plus ncessaires. Face ce genre de menaces, la
protection physique et logique du SI, aussi robuste soit-elle, ne sert simplement
RIEN.

En outre la dimension organisationnelle de la scurit informatique est souvent


nglige tort. Ce nest assurment pas par manque de moyens techniques de
protection, que des organisations comme la CIA, le FBI, AT&T, Microsoft ou
mme la NASA, Amazon, le Ministre du travail Amricain, ont t victimes
dincidents informatiques. Ces organisations disposent pourtant de moyens
colossaux pour assurer un niveau de scurit trs lev de leurs SI. On en dduit
alors aisment que la faille est plutt organisationnelle, voir humaine.

Bien videmment, investir en matire technologique est invitable pour mettre en


place les outils ncessaires la prvention, dtection et correction des failles de
scurit. Il est clair que la scurisation de lentreprise cote trs cher, surtout pour
les grandes entreprises dont les succursales sont disperses au sein dun mme pays
ou travers le monde. Ceci dit, laspect organisationnel constitue la base de toute
politique srieuse de scurisation des Systmes dInformations.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 49


Mme si le primtre couvrir est rduit dans les TPE/PMI, ceci ne signifie pas
ncessairement quelles sont totalement labri des attaques et incidents
informatiques. De plus en plus dattaques ciblant les TPE / PME dj fortement
secoues par lorage conomique mondial, sont menes dans le but dutiliser ses
cibles faciles et moins rentables pour en atteindre de plus grosses (drive by
download, whater hole).

Laspect organisationnel consiste mettre en place une politique de scurit de


linformation, une charte dutilisation des ressources et lensemble des processus et
procdures oprationnelles permettant dassurer un niveau de scurit minimal.
Dailleurs, trs souvent lors des audits de scurit, lon constate que le volet
technologique et technique est plus ou moins matris et que la nature des failles est
dans la majorit des cas, organisationnelle. On estime entre 60 et 80%, la proportion
du risque d des facteurs internes pour une socit, ce qui signifie que la
protection vis--vis dattaques externes est relativement bien maitrise.

Labsence de politique de scurit, le manque de formalisation du mode opratoire


de la sauvegarde, le manque de linventaire des actifs critiques, le manque de
garanties juridiques de protection de linformation, sont quelques exemples de
lacunes en matire de scurit organisationnelle.

Comme indiqu plus haut, l'ingnierie sociale (social engineering en anglais) est
une forme d'escroquerie utilise en informatique pour obtenir un bien ou une
information. Cette pratique exploite l'aspect humain et social de la structure
laquelle est li le systme informatique vis. Utilisant ses connaissances, son
charisme, l'imposture ou le culot, le pirate abuse de la confiance, l'ignorance ou la
crdulit de personnes possdant le bien informationnel qu'il tente d'obtenir
(informations en lespce). Il serait donc intressant de mettre un peu plus laccent
sur ce qui est considr par les experts de la scurit comme le maillon faible de la
chane de scurit, c'est--dire lHOMME.

La rsistance dune chane se mesure la


force de son maillon le plus faible
C oncevoir la s cur it informatiq ue en entr ep ris e Page 50
1
MAILLON FAIBLE DE LA CHAINE
LETRE HUMAIN : LE

DE SECURITE

" Ne vous fiez pas aux protections et aux pare-feu pour protger vos
informations. Surveillez les points les plus vulnrables. Vous
constaterez que cest votre personnel qui constitue le maillon faible
" Lart de la Supercherie, Kevin D. Mitnick et William L. ; ditions Campus
Press.

Dans le monde de la scurit TI, lon croit trop souvent que les cybercriminels sont
beaucoup plus ingnieux et savants que les professionnels assigns la scurisation
des SI. Or, selon le clbre hacker Kevin Mitnick12, presque toutes les failles de
haut niveau (critiques) sont le rsultat dune violation des processus mtiers et/ou
rgles procdurales ou de lingnierie sociale, mais non le fait dun savoir faire
technique exceptionnel.

12Kevin Mitnick est considr comme le plus clbre hacker de ses dernires dcennies et est le pre
de lIngnierie sociale

C oncevoir la s cur it informatiq ue en entr ep ris e Page 51


1 LE CERVEAU ET LE RAISONNEMENT HUMAIN

Le comportement et le raisonnement humain sont marqus la fois par les


proprits biologiques du cerveau et par les caractristiques des situations dans
lesquelles les personnes se trouvent places. Beaucoup danalogies sont faites entre
le fonctionnement du cerveau humain et celui dun ordinateur. Elles conduisent
souvent des conclusions fausses sur les raisonnements en situation de travail.
Quelques proprits du cerveau et du traitement humain de linformation mritent
dtre releves et prises en compte.

1. La perception

Les capteurs qui permettent notre perception ne sont pas passifs, cest--dire
exclusivement ractifs. Par exemple, les yeux ne sont pas comme une camra qui se
contenterait de transmettre des images qui se trouvent dans son champ visuel et
selon une configuration bien dtermine. Les yeux explorent lespace, guids par le
cerveau. Linformation est recherche activement, en fonction de laction qui est en
cours et de lexprience de la personne. Cest--dire que des informations qui ne
sont pas recherches seront perues beaucoup moins facilement que celles qui le
sont.

La recherche active dinformations favorise la perception de tous les sens. En effet,


le cerveau les prpare dtecter certaines informations. Celles qui ne sont pas
recherches devront avoir des caractristiques physiques beaucoup plus fortes pour
tre perues. La perception est ainsi la fois descendante (guidage par le cerveau) et
ascendante (les informations recueillies vont modifier la suite de lexploration).

Focalisation de lattention quand on attend le bus : les vhicules qui passent et qui
ne sont pas des bus seront peine perus. Si un bus arrive, la perception va se
modifier pour se focaliser sur le numro et non plus sur la forme gnrale du bus.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 52


Le cerveau concentre son attention sur ce que nous dfinissons comme prioritaire,
un instant donn.

2. La reconnaissance des formes

Les informations disponibles nos sens sont infiniment nombreuses. Leur


traitement nest pas effectu de faon analytique : cest--dire que notre cerveau
distingue directement des formes, des configurations, dont certaines sont innes
(distinguer la forme dun visage humain) et dautres acquises. Le cerveau
slectionne et combine des figures de faon les rapprocher dune unit cohrente
connue. Cette capacit identifier des configurations globales permet ltre
humain de reconnatre rapidement une configuration qui ressemble une
autre, sans pour autant tre exactement semblable. Cest en gnral un avantage,
puisque cela permet de traiter des situations par analogie. Mais cest parfois un
inconvnient, si ce qui tait important ce jour-l tait la diffrence et non la
similarit.

3. Un traitement variable

Le cerveau est une glande , cest--dire une structure anatomique qui a pour
fonction la production et la scrtion de substances hormones (enzymes digestives,
sueur, salive, lait, etc.). Le systme nerveux nest pas semblable un cblage
lectrique, mme sil est vrai que dans les neurones, linflux nerveux (lectrique) se
propage de faon stable, sauf maladie neurologique. Mais chaque neurone est en
relation avec plusieurs autres en amont, et en gnral un grand nombre en aval. Le
transport des messages nerveux entre deux neurones peut tre affect par les
motions se trouvant dans la fente synaptique . Or, lespace synaptique baigne
dans le liquide extracellulaire, qui peut contenir dautres neurotransmetteurs,

C oncevoir la s cur it informatiq ue en entr ep ris e Page 53


notamment si la personne se trouve en situation dmotions fortes, de stress, ou des
drivs de mdicaments ou de drogues. La transmission synaptique donc de linflux
nerveux sera alors modifie, les diffrents neurones en aval ne seront pas activs de
la mme faon. En effet, sous leffet des hormones (messagers chimiques destins
divers organes), les synapses sont sensibles aux diffrentes rgulations de
lorganisme et aux motions. De ce fait, le traitement de linformation par le
cerveau humain (sa rapidit, mais aussi parfois ses rsultats) sont susceptibles dtre
affectes par ces modifications endocrines.

En rsum, la transmission chimique du message (influx nerveux) est modifie par


ltat de la personne. Aussi, certaines drogues peuvent-elles augmenter ou diminuer
la vigilance, le champ visuel, la vitesse de raction, la perception de la douleur, la
mmoire court terme, etc. Ltat psychique de la personne va alors modifier les
drogues internes de lorganisme, avec des effets tout fait comparables.

4. La mmoire

La mmoire relve de trois processus diffrents :

La mmoire sensorielle : Cest une sorte de mmoire-tampon o les


informations issues de la perception sont stockes moins dune seconde
avant dtre traites. Aprs ce dlai, si elles nont pas t traites, elles sont
perdues.
La mmoire court terme : Cest le rsultat dune premire slection (qui
dpend du modle mental de la personne et de lorientation de laction ce
moment), et donc dun filtrage. Cest linformation sur la situation prsente,
disponible pour traiter celle-ci. Elle comporte les caractristiques suivantes:
dune capacit trs limite en nombre dunits dinformation quelle peut
retenir ;
trs sensible aux interfrences ;

C oncevoir la s cur it informatiq ue en entr ep ris e Page 54


la mmoire des informations de nature langagire peut tre entretenue par
autorptition, mais il nen est pas de mme de la mmoire prcise dune
couleur ou dune sensation.
La mmoire court terme est de ce point de vue, un point faible du
fonctionnement humain, et il est dangereux de faire reposer la scurit sur
cette fonction.
La mmoire long terme : Elle contient les traces des situations que nous
avons vcues. Elle est dune capacit virtuellement illimite, mais possde
une proprit trs particulire : il est impossible de savoir si quelque chose
est en mmoire. La possibilit daccder une information en mmoire
long terme dpend notamment de la ressemblance entre les circonstances
dacquisition et les circonstances de rappel. La mmoire long terme peut
tre nest pas simplement un stock de souvenirs. Pour un oprateur ayant peu
dexprience, la rponse une situation inhabituelle passera souvent par
lapplication dune rgle formelle apprise ou recherche dans un manuel.
Chez les oprateurs expriments, il sest dvelopp des schmes daction,
des units mentales qui mettent en relation les lments perus et les actions
effectuer. Ce fonctionnement est beaucoup plus conome en ressources que
le premier.

5. Un apprentissage permanent

Ltre humain apprend ainsi en permanence, stockant et synthtisant les traces de


son exprience. Il apprend aussi, bien sr, dans des moments conus comme des
priodes de formation. Mais il nest pas certain que les connaissances quil acquiert
en formation constituent un tout harmonieux avec celles qui rsultent de
lexprience. Si, en situation de formation, sont recres des situations voisines de
celles qui sont vcues dans le cadre professionnel, les nouvelles connaissances
pourront tre intgres la synthse ralise par le cerveau sur ces familles de
situations. Sinon, il est probable quelles seront classes avec beaucoup dautres

C oncevoir la s cur it informatiq ue en entr ep ris e Page 55


noncs, prts ressortir uniquement dans une situation ressemblant une situation
scolaire.

6. Le cerveau tourn vers le futur et ses simulations

Le cerveau, nous lavons dit, ne se contente pas dattendre que les informations lui
parviennent. partir de son anticipation des consquences de laction en cours, il
commande lexploration perceptive, prdit les informations quelle devrait rapporter
et contrle par chantillonnage que les choses se passent comme prvu. Le cerveau
ralise en permanence des prdictions, en utilisant les souvenirs de configurations
similaires. Il simule les consquences de diffrentes actions possibles, en activant
les mmes voies nerveuses que si laction tait vraiment effectue. Dans ce cas de
figure, seule la ralisation est inhibe.

En outre, le cerveau compare ainsi diffrentes possibilits daction et leurs


consquences en projetant sur le monde rel ce quil a synthtis par exprience.
Cette proprit rend ltre humain trs performant pour traiter des situations
similaires celles quil a dj vcues, mais un peu diffrentes.

2 DES OPERATEURS HUMAINS DIFFERENTS ET VARIABLES

Ltre humain a des proprits rsultant de son fonctionnement biologique, et qui ne


peuvent tre modifies volont. Elles doivent tre prises en compte dans la
conception des systmes de travail, au mme titre que les proprits
physicochimiques des matriaux. Si ce nest pas le cas, ltre humain sadaptera
plus ou mois bien dans certaines limites, mais toujours un cot lev pour lui et
avec une dgradation de sa performance. Nous ne nous hasarderons pas tenter de
prsenter ici, lensemble des proprits du fonctionnement humain qui peuvent

C oncevoir la s cur it informatiq ue en entr ep ris e Page 56


entrer en jeu dans le travail, vu lextrme complexit du sujet. Ce chapitre
prsentera brivement, dabord quelques lments de la diversit des individus, puis
les variations de ltat du corps en fonction des moments de la journe, qui doivent
tre prises en compte dans la conception de la scurit informatique.

1. La sant physique et lge

Avec lge, les principales restrictions mdicales daptitude concernent le travail de


nuit, les efforts notamment la chaleur, et les sollicitations du dos, de la mmoire et
de lacuit visuelle. Elles sont susceptibles de mettre en difficult la fois les
personnes concernes et lentreprise, pour laquelle la gestion des ressources
humaines devient plus complexe.

2. La fatigue

La fatigue implique une baisse de la capacit de lorganisme et ncessite donc la


mise en uvre de mcanismes physiologiques diffrents, un cot plus lev,
quand le mme niveau dactivit doit tre maintenu. En effet, tre fatigu, cest
devoir mobiliser plus de ressources pour arriver au mme rsultat. On distingue la
fatigue musculaire et la fatigue nerveuse.

La fatigue musculaire traduit lpuisement des ressources nergtiques internes au


muscle, une augmentation de son acidit, et le fait que la circulation sanguine est
insuffisante pour vacuer les dchets et apporter le glucose et loxygne ncessaires.

La fatigue nerveuse quand elle, traduit limpossibilit pour le systme nerveux de


maintenir le traitement de linformation au mme rythme. Elle dbouche sur une
augmentation des erreurs et des omissions, et une dgradation de la perception. Elle
peut aussi donner lieu des signes dirritabilit. Dans un premier temps, la fatigue

C oncevoir la s cur it informatiq ue en entr ep ris e Page 57


nest pas consciente, les capacits sont affectes, mais la personne ne sen rend pas
compte. Dans un deuxime temps, celle-ci peroit la fatigue et pourra
ventuellement mettre en place des stratgies pour la grer (demander de laide,
multiplier les vrifications). Du point de vue de la scurit, la phase inconsciente de
la fatigue est particulirement critique.

La fatigue nerveuse apparait comme un facteur trs important prendre en compte


dans la mise en uvre de la scurit informatique, du fait quelle est susceptible
davoir une incidence directe sur la gestion du SI.

3. Les vnements de la vie

Les vnements de la vie (conflit, deuil, chec. . .) et les motions qui en rsultent
peuvent affecter ltat physique de la personne, sa perception, ses prises de dcision.
Par exemple, la recherche dinformations sera plus limite, les raisonnements
intgreront moins de facteurs, les dcisions seront moins nuances. Si ces
vnements sont dorigine individuelle (familiale), les autres membres du collectif
de travail pourront en gnral compenser les variations de ltat de la personne
concerne. Si en revanche lorigine est collective (conflit avec la hirarchie,
incident occasionn par un maillon de la chane de scurit), il sagit dun mode
commun , et cest toute la capacit perceptive et dcisionnelle de lquipe qui peut
se trouver modifie.

4. Les rythmes biologiques

Lorganisme humain, comme celui danimaux et de vgtaux, comporte des


horloges internes. Diffrents phnomnes biologiques sont priodiques, la plupart
avec une priode de lordre de 24 heures (il existe aussi des rythmes mensuels,
annuels). La temprature, la scrtion de nombreuses hormones, la vigilance, la

C oncevoir la s cur it informatiq ue en entr ep ris e Page 58


performance sensorimotrice, etc., varient ainsi au cours dune journe. La
perturbation des rythmes biologiques, due aux dcalages engendrs pendant le
service a des effets nfastes sur la sant, la vigilance, la productivit, etc. Il est
totalement illusoire desprer que la vigilance et la rapidit de raction 3 heures du
matin soient les mmes qu 15 heures, cela est physiologiquement impossible.

3 LES SITUATIONS DE TRAVAIL

1. Le stress au travail

Le stress est dabord une rponse de lorganisme une situation susceptible de


menacer son intgrit. Des ressources biologiques exceptionnelles sont alors
mobilises pour pouvoir faire face cette menace.

Le stress au travail peut tre dfinit comme tant un tat accompagn de plaintes
ou dysfonctionnements physiques, psychologiques ou sociaux, et qui rsulte du fait
que les travailleurs se sentent inaptes combler un cart entre leurs possibilits et
les exigences ou les attentes les concernant . Le stress nest pas une maladie mais
une exposition prolonge au stress peut rduire lefficacit au travail et causer des
problmes de sant. La rponse biologique se fait en deux ou trois temps :

Premier temps : Lalerte

Le systme nerveux agit sur la partie centrale des glandes surrnales, qui secrtent
des catcholamines (adrnaline, noradrnaline). Celles-ci vont provoquer la
mobilisation de stress. Alors la pression artrielle augmente, le sang est dirig de
prfrence vers les muscles et le cerveau, le sucre disponible dans le foie est mis en
circulation dans le sang. Cette raction rapide conduit une mobilisation dnergie
court terme qui permet de faire face la situation immdiate, mais qui puise les

C oncevoir la s cur it informatiq ue en entr ep ris e Page 59


sources nergtiques habituelles. On peut aussi noter qu faible dose, la
noradrnaline favorise un raisonnement labor, tandis qu dose leve, elle
conduit le cerveau privilgier les programmes de rponse strotype les plus
anciennement appris, et la prservation immdiate plutt que le moyen terme.

Second temps : la rsistance

Si la source de stress persiste, lorganisme doit chercher dautres ressources.


Lhypothalamus puis lhypophyse envoient des messages chimiques qui
commandent la partie priphrique des glandes surrnales la scrtion de cortisol.
Celui-ci permet la production de sucres partir des graisses et des protines. Il a
galement des effets anti-inflammatoires, mais le maintien dun taux lev de
cortisol a des effets toxiques pour lorganisme : il entrane la rcupration a des
perturbations mtaboliques, gnratrices terme dathrosclrose (obstruction des
artres) et de maladies cardiovasculaires, et une diminution des dfenses
immunitaires.

Troisime temps : lpuisement

Si la source de stress devient chronique, il arrive un moment o lorganisme


renonce ragir. Les rgulations biologiques (notamment celle qui ajuste la
production de cortisol) sont un stress permanent dbordes, et de nombreuses
pathologies peuvent apparatre (atteintes cardiovasculaires, maladies infectieuses,
allergiques, cancers). Une issue possible chez ltre humain est la dpression. Celle-
ci se traduit notamment par une perception ngative indiffrencie des situations, et
une surgnralisation , cest--dire une tendance excessive attribuer des traits
communs des situations diffrentes, qui empche de traiter de faon nuance des
contextes distincts. Un tel tat de forme dun employ charg de la scurit du
systme dinformation un niveau lev, peut tre trs dommageable pour
lentreprise et le risque ultime est le suicide.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 60


2. Les conditions sociales et lenvironnement social

La nature et les causes criminognes de la fraude informatique sont trs complexes.


En effet, beaucoup de chercheurs considrent que lemploy commettant une fraude
informatique est motiv avant tout par lavidit, lgosme et lindividualisme qui
sont inhrents aux valeurs de la socit capitaliste. Tout cela, associ aux motions
et besoins humains, en fait la premire motivation de criminalit informatique. Il
nest cependant pas facile de lier la criminalit informatique des pathologies
individuelles et en consquence, quasiment impossible dtablir un portrait type.
Mais il ne faut pas tomber dans lexcs contraire en considrant que les faits de
criminalit informatique ne sont dus qu des cas isols. Il est donc ncessaire
danalyser les relations individu - organisation - facteurs sociologiques. Ceci
implique une bonne connaissance des pratiques de lentreprise elle-mme,
ainsi que les valeurs culturelles qui gnralement favorisent ou pas la fraude,
car la culture (le vcu) est prdominante chez lhomme.

Le manque de mesures de scurit cre un environnement dans lequel les


employs ne se sentent en aucune faon responsable des consquences de leurs
actions. Une telle situation contribue certainement la fraude, car le facteur
situationnel li un environnement propice la gense dides criminelles, est trs
important. Le facteur situationnel joue un rle dterminant dans le passage lacte
criminel, notamment la fraude informatique. En effet, labsence de tout contrle et
laccs facile aux donnes sensibles de lentreprise, peut tre un lment
dclencheur de ractions criminelles. Cela dmontre que les dirigeants ont une
responsabilit norme dans la scurit de leur entreprise, puisque de par leurs
dcisions, ils influencent directement la structure de cette entreprise et donc
loccurrence de la fraude.

A lheure quil est, les tudes empiriques officielles relatives la fraude


informatique en interne (dans les entreprises), sont jusque l inexistantes en Cte
dIvoire. Cet tat de fait traduit que la comprhension de la fraude informatique et

C oncevoir la s cur it informatiq ue en entr ep ris e Page 61


la scurit informatique nont pas encore acquis la place quelles mritent dans
lenvironnement conomique Ivoirien.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 62


MANAGERIALE EN ENTREPRISE
2 LA CULTURE

Selon les experts en gestion des ressources humaines, la gestion des choses ou
gestion du personnel (management comptable, technique, administratif) remplace
progressivement le gouvernement des hommes (management des quipes, et des
processus humains). Or, lhomme reprsente le capital de comptences, de
professionnalisme, d'engagement, d'innovation, d'initiatives et de performance qui
garantit la russite et la prennit des entreprises, petites et grandes. La question qui
se pose est de savoir si la Direction des Ressources Humaines, nest voue
exclusivement qu la gestion des choses ou gestion du personnel ; ou doit-elle
s'ouvrir un peu plus au gouvernement des hommes (management des quipes). On
voit naitre, au del de toutes considrations idologiques, le besoin de construire ou
reconstituer une culture managriale qui puisse associer:
la comptence humaine des managers,
la comprhension des phnomnes collectifs et des pratiques de management
des hommes
le dveloppement d'une culture spcifique qui intgre l'originalit singulire
et la diversit de chaque entreprise.
En somme, il est question de repositionner l'homme au cur du systme , en
crant les conditions d'un alignement individuel fort avec les valeurs de
l'entreprise. Car si l'on veut sortir du domaine de l'incantatoire en matire de
scurit, il faut que les "aveugles " que sont les managers et les directions,
retrouvent la vue et que les "muets" que sont les collaborateurs puissent
s'exprimer .

C oncevoir la s cur it informatiq ue en entr ep ris e Page 63


La simple communication d'une charte de valeurs est insuffisante, quoique claire ou
contraignante. Il est ncessaire dtablir un substrat managrial fort en matire de
conception de la scurit.

1 LA CULTURE DE SECURITE

Le terme "culture" dsigne tout dabord un ensemble de valeurs, de reprsentations


et de pratiques partages par une communaut. La scurit quand elle traduit
labsence de risque majeurs ou du moins jug acceptables. En un mot, la culture de
scurit dsigne lensemble des caractristiques et des attitudes, qui dans les
organismes (entreprises, associations, administrations) et chez les individus font que
les questions relatives la scurit, bnficient en priorit de lattention quelles
mritent en fonction de leur importance.

Parler de la culture de scurit en entreprise indique donc clairement la volont de


relier deux sphres qui sont : dune part, celle des comportements et des valeurs des
acteurs (tant internes, quexternes lentreprise) et dautres part, celle de
lorganisation et des structures des secteurs risques. Cette distinction permet de
relever les deux grands champs dapplication de la scurit que sont : lentreprise et
la socit civile, quil est important de rapprocher et sur lesquels il simpose dagir
dans le but de faire de la scurit une culture partage. Enjeux majeure pour
lentreprise, la scurit informatique ncessite donc dorienter la dmarche sur un
dveloppement de la culture de scurit de lentreprise et de ses composantes. Au
sein de lentreprise, cela passe avant tout par laction sur deux axes internes
lentreprise qui sont :

Engagement de la direction
Systme de management de la scurit

C oncevoir la s cur it informatiq ue en entr ep ris e Page 64


1. Engagement de la direction

Lengagement de la direction est le socle de la culture de scurit en entreprise. Il


favorise la diffusion de la culture de scurit dans les diffrents niveaux de
lentreprise. Cet engagement pour tre efficient doit aller au del du le simple effet
daffichage, et stendre llaboration dune politique claire, participative et
relaye par des actes visibles tous les niveaux de lentreprise. En effet, la culture
de scurit se transmet de faon descendante, cest--dire quelle part des instances
dirigeantes au sommet de lorganigramme hirarchique (leaders), jusquaux simples
employs, la base de lorganigramme de lentreprise, acteurs majeurs de la vie de
lentreprise.

2. Systme de management de la scurit

Le systme de management de la scurit quant lui intgre diffrents axes, qui


sont:

La mise en uvre dune politique organisationnelle (structures rgles,


hirarchies) :

Il sagit de mettre sur pieds des structures intgrant lobjectif de dveloppement de


la culture de scurit :

- en dfinissant clairement les responsabilits de sortes impliquer chacun des


acteurs,
- en laborant des procdures visant au dveloppement de la culture de
scurit,
- en dfinissant des modalits de contrle de lefficacit des mesures adoptes
et de suivi des indicateurs.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 65


Lintgration de la culture de scurit dans les comportements des acteurs de
lentreprise

La scurit ne saurait satteindre uniquement travers une dmarche directive de


type Top down (directives unilatrales venant de la haut, excuter). Il est
important de susciter ladhsion des acteurs la dmarche, travers une approche
similaire que celle utilise par les spcialistes de la publicit, dite de
connivence . Dvelopper une culture de scurit, cest favoriser limplication de
tous les acteurs ladoption de comportements participatifs. Ceci implique une
responsabilisation, vis--vis de la prvention, de la protection, de lanalyse des
risques, et une reconnaissance de limportance du rle jou par chacun des acteurs
quelque soit le niveau de responsabilits.

La mise en place de lien fonctionnels entre lorganisationnel et les


comportements

Dvelopper une culture de la scurit revient construire une cohrence entre les
rgles et les comportements, entre le discours et la pratique, pour faire de la scurit
une valeur partage par tous, au sein de lentreprise. La vritable difficult reste
lapplication et la mise en uvre effective de la fonctionnalit de liens entre
lorganisation et les comportements. Pour ce faire, certains principes sont prendre
en compte. Ce sont ces principes que nous tudierons dans les points suivants.

2 LA GESTION DES RESSOURCES HUMAINES

La gestion des ressources humaines (GRH) peut tre dfinie sommairement, comme
la gestion des hommes au travail dans des organisations. La gestion des ressources
humaines est une discipline complte qui va au del de la simple administration du
personnel, comme ctait le cas avant les annes 1980. Cet lment capital pour la
vie et la croissance des entreprises, comporte plusieurs facettes, savoir : gestion

C oncevoir la s cur it informatiq ue en entr ep ris e Page 66


des recrutements et des affectations, des carrires, de la rmunration, du dialogue
social, de lhygine de scurit, etc. Cette liste non-exhaustive des diffrentes
composantes de la gestion des ressources humaines montre limportance de cet outil
dans le management de lentreprise. Elle est dans le prolongement des rgles
organisationnelles prendre en compte dans ltablissement de la culture de
scurit.

1. Le rle du management dans lentreprise

Le rle du management des ressources humaines au sens strict, c'est de concilier au


mieux les intrts de l'entreprise avec ceux des employs. Il sagit entre autres de
mettre en uvre des actions permettant d'atteindre les objectifs fixs par la
direction. En dautres termes, la gestion des ressources humaines ramne :

Faire s'approprier et partager les objectifs fixs par la direction,


Russir convaincre et motiver les quipes,
Partager les informations et les connaissances,
Crer de la cohsion (encourager et dvelopper l'esprit d'quipe),
Recadrer les actions,
savoir dlguer tout en exigeant un rendu-compte rgulier,
dvelopper les potentialits au sein des quipes,
recadrer s'il y a dbordement et rsoudre les conflits etc.

Lanalyse de tous ce qui suit conduit considrer la scurit en entreprise selon une
approche marketing . En effet, la scurit en entreprise dans tous les domaines,
tend devenir un produit/service dvelopper, promouvoir lintrieur et
lextrieur de lentreprise, tant donn que les grands principes du marketing sy
appliquent. La culture de la scurit ne peut tre impose, mais plutt promue avec
une approche de connivence . Les moyens mis en uvre pour asseoir et
dvelopper une vraie culture de la scurit en entreprise doivent sappuyer sur la

C oncevoir la s cur it informatiq ue en entr ep ris e Page 67


communication (campagne de communication-marketing, organisation, formation-
mtier, filire management, sensibilisation, etc.).

2. La formation continue et la sensibilisation

Un accent particulier doit tre mis sur la formation continue des salaris, mais aussi
sur la politique de recrutement des nouveaux employs. En effet, les TIC et par
ricochet la criminalit informatique sont trs volutifs, do la ncessit deffectuer
des mises niveau permanentes, afin de rester au parfum des innovations
technologiques et volutions des pratiques de lactivit cybercriminelle. Une
politique de formation pour les employs admis des postes de responsabilits
critiques pour la scurit des systmes dinformation, doit tre mise en place. Il ne
sagit pas juste de donner des armes technologiques aux agents, mais den garantir
une matrise totale, afin de maximiser lefficacit des employs.

Limpact dune sensibilisation en entreprise se mesurera lvolution de la culture


concerne ainsi qu certains changements de comportement attendus. La
sensibilisation a pour finalit de changer les regards, les mentalits et,
finalement, les comportements des individus concernant des enjeux distincts lis
lactualit de chaque organisation : promotion du dveloppement durable, projet
de changement (dmnagement, nouvelle organisation, etc.), meilleure insertion
des personnes handicapes dans lentreprise, promotion de la parit, scurit de
linformation, bien-tre au travail etc. .

De plus, les entreprises doivent accorder un regard particulier la diversification


des domaines de spcialisation des acteurs engags dans la scurit de
linformation. En ce qui concerne la scurit informatique, la complexit relative de
la cybercriminalit, oblige les dirigeants accorder autant dimportance aux
juristes, personnel administratif, quaux ingnieurs et techniciens informaticiens.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 68


3. Lorganisation du retour dexprience

Proche dans ses principes de lanalyse des pratiques , bien connue des
professionnels du secteur social et mdico-social, le retour dexprience est
avant tout un moment darrt et de rflexion en cours daction, destin identifier
ce quil est ncessaire damliorer du fonctionnement dun tablissement, dune
entreprise, dune organisation eu gard aux objectifs poursuivis. Le retour
dexprience est compos de deux phases principales : une phase de bilan de
laction ralise et une phase de remdiation, consacre la recherche et la mise
en place de solutions destines amliorer laction venir. Cest ce bilan qui,
conduisant la dfinition de mesures correctives, constitue par la mme occasion le
processus dapprentissage.

Le retour dexprience ou REX, est un lment de progrs indispensable toute


organisation. Sa mise en uvre doit tre systmatique aprs un exercice ou un
vnement. Au-del de sa capacit faire voluer les organisations, il constitue
avant tout une opportunit de partage et dapprentissage pour lensemble des acteurs
quels que soient leur niveau hirarchique et leurs statuts. Il sagit de lanalyse
mthodique et rigoureuse dun vnement, ou dun exercice dans le but de
comprendre les causes et les mcanismes ayant conduit, lors de la gestion, des
innovations ou des dysfonctionnements, afin den tirer des enseignements pour
lavenir. Le retour dexprience est utile pour comprendre la nature et lamplitude
des carts entre le cadre mthodologique (contenu du PCS) et les pratiques mises en
uvre lors de la gestion de lvnement. Il conduit ainsi faire voluer les modes
dorganisation dans le but de les rendre plus efficients. Le retour dexprience
constitue ainsi un vritable outil dapprentissage dont lobjectif nest pas de
sanctionner mais dapprendre toujours plus pour progresser.

Appliqu au domaine qui nous intresse ici, le retour dexprience permet de


matriser par lexprience, les enseignements tirs par la mise en uvre de la
politique de scurit mise en place par lentreprise, en vue de la corriger,

C oncevoir la s cur it informatiq ue en entr ep ris e Page 69


lamliorer, ladapter aux objectifs viss, en partageant les connaissances et
aptitudes qui y ont dcouls toutes les chelles de la pyramide hirarchique.

3 POLITIQUES ET PROCEDURES

La politique de scurit dans le domaine informatique nest pas destine tre un


recueil de bonnes pratiques sans application. Il ne sagit pas de dfinir des rgles,
des lois, sans en assurer une applicabilit effective (Procdure organisationnelles,
chartes, rfrentiel, etc.).

La PSSI (Politique de Scurit du Systme dInformation) relve de nos jours,


dune vision stratgique de lorganisme et traduit un engagement fort de la
direction gnrale. Elle sinscrit ncessairement sur le long terme et est conforme
aux dispositions lgislatives et rglementaires du domaine dactivit et est cohrente
avec les politiques et directives de niveau suprieur (Direction Gnral, Ministre
de tutelle, etc.). Elle se doit galement dtre cohrente avec les politiques de
scurit des organismes partenaires de lentreprise, au risque dtre un frein son
bon activit.

En plus des chartes dutilisation, manuels et autres lments organisationnels


constitutifs de la PSSI, lentreprise doit mettre en uvre un plan de continuit des
services (PCA, PRA) qui se doit dtre oprationnel en cas de sinistre majeur. Elle
doit aussi prvoir des polices dassurance, budgets, etc., en complment.

1. Budgets et dpenses

La scurit du systme dinformation dispose-t-elle dun budget spcifique dans les


entreprises ? Quelle est la place de la scurit des SI dans les priorits stratgiques
des entreprises ?

C oncevoir la s cur it informatiq ue en entr ep ris e Page 70


Certaines entreprises lactivit hautement sensible ont dfinit des budgets
spcifiques la Scurit des Systmes dInformation. Selon le JDN (Journal du
Net), la part des dpenses consacres la scurit des systmes d'information dans
le budget informatique global des entreprises a bondi entre 2007 et 2010. Selon le
cabinet d'tudes Forrester Research, alors qu'elles ne reprsentaient que 8,2% des
dpenses IT (information technologies) globales en 2007, trois ans plus tard elles
psent dsormais 14%. Pour cette anne 2013, la tendance est plutt la hausse,
voire le maintient de la part de dpense alloues la scurit pour les entreprises
Europennes, selon le Cabinet dExpert Pierre Audoin Consultants.

Les domaines de scurit qui font le plein sont ceux lis la scurit des donnes et
des investissements en gestion des vulnrabilits. En revanche, les entreprises ont
rduit leurs dpenses en matire de gestion des accs et des identits, gouvernance
et scurisation des applications. La dernire tude de Forrester, qui a interrog pour
l'occasion 2 058 dcideurs informatiques en Amrique du Nord et en Europe, met
galement en avant le fait que 54% des entreprises disposent d'un responsable de la
scurit des systmes d'information rapportant directement un membre de la
direction gnrale.

Les tudes de ce genre sont bien malheureusement rares, voir inexistantes, dans les
pays Africains en gnral. Il serait hasardeux de donner des lments
dinformations sur le sujet, tant les sources dinformations sont rares en Cte
dIvoire. Des projets dtudes sur le terrain sont formuls, mais une implication plus
grande des politiques est ncessaire, afin de proposer des lments de
comprhension et de rponses au problme de la scurit et de la criminalit
informatique en entreprise.

Toutefois, il est noter que les dpenses sont en gnral reparties entre logiciels et
infrastructures. En effet, les dpenses de scurit sont principalement perues
comme une couverture du risque et dans une moindre mesure, comme un gage de
qualit ou un avantage concurrentiel. Elles sont plus rarement perues comme une
contrainte ou un mal ncessaire, ce sentiment tant le fait dune mauvaise
valuation des enjeux de la scurit informatique et une absence ou une sous-

C oncevoir la s cur it informatiq ue en entr ep ris e Page 71


valuation de la fonction de RSSI (Responsable de la Scurit des Systmes
dInformation) ou DSI (Directeur de la Scurit Informatique), paradoxalement
absent des directions gnrales ou des dpartements daudit. La question de la
cration dun dpartement spcifique, autonome mais rattach aux directions
gnrales, nous parat tre un sujet trs intressant, qui mrite un intrt particulier.

2. Externalisation

L'externalisation consiste remettre un prestataire extrieur une partie ou


l'intgralit d'une activit qui tait jusqu'alors ralise en interne. Trs souvent,
l'externalisation consiste dlguer des fonctions non stratgiques et non
essentielles d'une entreprise. C'est un outil de gestion stratgique afin de restructurer
l'entreprise dans sa sphre d'activits. Le dveloppement en offshore consiste aller
chercher de la main d'uvre trangre , qui serait moins chre, et donc trs
avantageuse au niveau financier. Cette pratique prsente des avantages et des
inconvnients quil convient de souligner. Tout dabord, l'entreprise se dtache de
nombreuses contraintes qui psent sur son activit majeure, elle sera donc gagnante
sur le plan financier. Aussi, l'entreprise qui externalise, gagne-t-elle galement au
niveau efficacit, puisqu'elle confit l'activit des experts. Au vue de tous ces
avantages, les entreprises ont commenc rellement pratiquer cette stratgie au
dbut des annes 90. Depuis, le nombre de ces entreprises qui externalise tout ou
partie de leur activit est croissant.

Par ailleurs, lexternalisation comporte tout de mme des risques. Le premier risque
non ngligeable dcoulant d'une externalisation, est celui de la perte de
confidentialit des informations. De plus, les employs ont une perte de
connaissance de leur capital immatriel. L'externalisation doit tre murement
rflchie, et le choix du prestataire externe est primordial. La qualit de ce dernier
est indispensable pour que la stratgie s'opre de faon optimale. Ces risques
doivent donc tre examins de trs prs par l'entreprise souhaitant externaliser une

C oncevoir la s cur it informatiq ue en entr ep ris e Page 72


partie ou l'intgralit de la scurisation de son SI, sinon la stratgie peut tre contre-
productive.

En Cte dIvoire, lexternalisation de la fonction de scurisation des SI semble


acqurir un intrt particulier. En effet, avec la politique nationale de cyberscurit
mise en place par lEtat Ivoirien, un CERT (Computer Emergency Response Team)
a t mis sur pieds. Cette quipe reprsente lheure quil est, lun des seuls
organes sous-rgionaux dots des comptences techniques et matrielles de haut
niveau ncessaires en scurit Informatique. Compos dIngnieurs certifis CEH,
GSEC, GCIH, etc., issus dtablissements prestigieux de certification (EC-Council,
SANS), le CI-CERT prsente des garanties techniques et oprationnelles
importantes. Le nouveau cadre juridique en cours dimplmentation prvoit de
confier gestion de la scurit des systmes dinformations des entreprises et
infrastructures critiques cette quipe, dpendant de lautorit de rgulation des
tlcommunications.

Toutefois, vu le caractre vital que revt le systme dInformation pour les


entreprises, lexternalisation partielle, cest--dire, confier une certaine partie des
activits de scurisation des SI, serait un partenariat gagnant pour les entreprises
Ivoiriennes.

3. Pilotage et Contrle

Il est aujourdhui impossible pour un DSI (directeur de la scurit informatique) de


mener bien ses activits sans maitriser le niveau de confiance quil accorde son
SI. Il est devenu le comptable de la scurit de la majorit des informations et des
outils de lentreprise. A cet effet, il doit pouvoir tout moment rassurer sur ce point,
et bien souvent indiquer quelles stratgies il compte mettre en uvre pour accrotre
ce niveau de scurit.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 73


La scurit du SI est dsormais vitale pour lentreprise. Tout dabord en tant que
support des processus mtiers, le SI embarque naturellement de nombreux
dispositifs de contrle essentiels la fiabilit des informations. De plus, dans de
nombreux domaines (comme le contrle des comptes), laudit intgre de nos jours
en plus des vrifications ponctuelles, une valuation du dispositif de contrle
interne lui-mme. Concrtement, le contrle interne prends en compte ainsi toutes
les mesures prises au quotidien pour matriser le processus (politiques, procdures,
etc.) lui-mme, les vrifications effectues par les oprationnels dans le cadre de
leurs activits courantes, et plus gnralement la culture de contrle de
lorganisation. De nombreuses organisations ont ainsi dfini et mis en uvre,
souvent sous la houlette du RSSI, des procdures, des responsabilits, et le reporting
associ, via des dmarches sappuyant sur les mthodes ITIL, CMMI ou ISO
27001.

Comment dfinir sa cible en matire de contrle permanent de la scurit ?

Le contrle permanent de la scurit, qui sinscrit dans la dmarche globale de


contrle interne, se dcline selon un modle de contrle deux ou trois niveaux en
fonction du contexte de lentreprise.

Niveau 1 : Il comprend les contrles raliss chaque jour par les quipes
oprationnelles (remontes dindicateurs, contrles techniques et
mthodologiques, etc.). Il est intgr leurs procdures et processus
rguliers, selon le principe de lautocontrle . Il sagit par exemple de
sassurer que les infections virales sont matrises par consultation
quotidienne des logs et reporting au niveau dune console centrale, de revoir
de manire rgulire les droits utilisateur dune application, de sassurer que
lapplication des correctifs de scurit se fait en accord avec la politique de
scurit, etc. Ces contrles de niveau 1 sont souvent largement automatiss et
industrialiss.
Niveau 2 : Il comprend les contrles permettant, dune part, de vrifier la
validit des contrles de niveau 1, effectus par les quipes oprationnelles et

C oncevoir la s cur it informatiq ue en entr ep ris e Page 74


dautre part, de faire le lien avec la matrise des risques mtiers et
stratgiques. Ce palier constitue le niveau des contrles de conformit . Il
sagit par exemple de vrifier que les contrles de droits daccs sont
effectivement mens et suivis de mesures correctives, de conduire des revues
des tests PCA (plans de continuit), etc. Le niveau 2 est ralis par une
quipe indpendante des quipes oprationnelles, et idalement de la filire
scurit (RSSI). Par exemple une cellule contrles rattache au RSSI,
agissant par dlgation de la Direction du contrle interne ou de la Direction
de laudit et des risques.
Niveau 3 : Il est en dehors du primtre du contrle permanent. Cest--dire
quil intgre les contrles priodiques diligents par une entit externe au
contrle permanent (Inspection gnrale, Contrle gnral, etc.). Il comprend
galement les audits externes. Dans le secteur bancaire o le contrle est
largement dvelopp et rglement, les trois niveaux existent le plus souvent.
Dans dautres secteurs, les fonctions de niveau 2 et 3 peuvent ne pas tre
dissocies ou tre ralises par les mmes quipes.

En dehors des tests dintrusion ou Pen-Test (Penetration Test), valuation du plan


de migration des applications, contrle daccs logique, authentification, etc., les
audits de scurit portent galement sur la scurit physique du SI. En effet, il est
plus que vital dassurer une bonne politique de scurisation du SI, contre : les
dfauts dalimentation lectrique, mauvaise climatisation, actes de vandalismes,
inondations, incendie et assurer la traabilit des entres et le marquage des
matriels, etc. La majorit de la scurit en entreprise est essentiellement axe sur
cet aspect, travers les portes blindes, accs biomtriques, agents de gardiennages,
etc.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 75


4. La prvention juridique

En plus de l'arsenal technologique et procdural mis en place, les entreprises


doivent galement avoir recours des techniques juridiques prventives visant
anticiper, limiter et rduire les dommages subsquents une atteinte la scurit
informatique. Les dgts engendrs par une telle atteinte peuvent tre coteux pour
lentreprise. Toutefois, il est souligner qu'un sinistre li la dfaillance de
la scurit d'un systme informatique peut ne pas tre d exclusivement un
cybercriminel, un vandal ou un hacker. La responsabilit peut galement tre le
fait :

o du fournisseur de matriel ou logiciel de scurit qui n'aurait pas fonctionn,


o du fournisseur d'accs au rseau de tlcommunications qui aurait t
ngligent,
o du fabricant et/ou l'installateur du rseau informatique de l'entreprise qui
aurait mal dfini l'architecture et les systmes de protection,
o dun prpos de l'entreprise qui aurait commis un acte de malveillance ;
o du chef d'entreprise qui n'aurait pris aucune prcaution en matire de scurit
et n'aurait pas protg ses fichiers stratgiques,
o du fournisseur de logiciels de cryptologie qui n'aurait pas assur la protection
des cls.

Lintelligence juridique13 se dcline comme lun des facteurs cls de succs de la


conception dune stratgie de scurit informatique en entreprise. En effet, le droit
devient omniprsent dans lenvironnement des TIC et acquiert une importance
capitale dans la mise en production des systmes dinformation.

Dans le cas dincidents informatiques, la responsabilit des acteurs qui en assure la


gestion est fortement invoque. Il apparait donc ncessaire que les responsables de
la scurit puissent apporter la preuve que des mesures suffisantes de protection du
systme dinformation et des donnes ont t mises en uvre afin de se protger

13 Ensemble des rgles et mthodes dintgration du Droit comme outil daide la dcision

C oncevoir la s cur it informatiq ue en entr ep ris e Page 76


contre un dlit de manquement la scurit ( dfaut dune obligation de rsultat,
ils ont une obligation de moyens).

Les responsables dentreprises euxmmes doivent tre sensibiliss et extrmement


attentifs et lgard du cyberdroit (droit des nouvelles technologies), afin de
sassurer que leur systme dinformation est en conformit juridique. En effet, en
plus des dispositions rglementaires et lgales, ils doivent galement tre
sensibiliss aux contraintes dune enqute policire. La dmarche de scurit est un
processus dynamique qui volue tout comme les technologies de linformation, et
ncessite donc la mise en place dune veille juridique.

Au regard de tout ce qui suit, il apparait plus quimprieux de proposer des


garanties scuritaires, pour les hypothses ou le sinistre ou lincident informatique
na pu tre prvenu et vit (dfense en profondeur). A ce niveau des dispositions
juridiques simples mais efficaces sont prendre, telles que :

i. ETABLIR DES CLAUSES ET DES ENGAGEMENTS SPECIFIQUES A


LA SECURITE DANS LES CONTRATS FOURNISSEURS

Pour des contrats conclus avec les fournisseurs d'informatique, il faut s'assurer que
le fournisseur sengage garantir au minimum, la mise en place de systmes de
protection (notamment firewall et anti-virus) conformes aux technologies
disponibles sur le march. Enfin, rappelons que pour tre efficace, ces engagements
devront tre valables aussi bien lors de la premire livraison du systme, que par la
suite dans le cadre de la maintenance du systme. Il est important de prvoir la
charge du fournisseur une obligation contractuelle de mise jour rgulire du
systme informatique pour couvrir les cas de dfaillance du systme de scurit du
fait de son caractre obsolte.

De plus, les contrats de back-up sont une alternative intgrer dans sa stratgie
lorsquon sengage avec un fournisseur. Le contrat de back-up a pour objectif de
prvoir les conditions dans lesquelles un fournisseur met la disposition d'un client

C oncevoir la s cur it informatiq ue en entr ep ris e Page 77


qui se retrouve victime d'un incident l'empchant de continuer utiliser son systme
informatique, un matriel de substitution de configuration quivalente.
Gnralement pour une priode donne, dfinie daccord entre les deux parties et
selon les exigences de lentreprises, ce matriel de substitution permet de continuer
lactivit et spcifiquement les oprations cls pour le fonctionnement de
lentreprise.

ii. LES POLICES DASSURANCES

Il est aujourd'hui indispensable pour une entreprise d'avoir une police d'assurance
qui tienne compte du risque informatique. Les garanties proposes par les assureurs
en matire informatique s'articulent autour de trois types de garanties :

celles relatives au matriel et aux mesures indispensables prendre pour la


poursuite de l'exploitation d'une part, connue sous le nom de "Tous
risques informatiques" ou "multirisques informatiques" (TRI). Ce
contrat couvre essentiellement les dommages matriels directs susceptibles
d'atteindre les biens de l'assur, mais il peut galement garantir les frais
engendrs par la survenance du dommage et les pertes d'exploitation. Cette
garantie prend gnralement en compte tous les dommages matriels subis
par les biens assurs, sous rserve de l'application de quelques
exclusions, ce qui se traduit particulirement dans la rdaction, par une
formule type "tout sauf".
celles relatives aux consquences pour l'exploitant d'un systme informatique
de la fraude informatique d'autre part, connue sous le nom de "Extension
des risques informatiques" (ERI). Ce contrat a pour objet la garantie des
pertes de fonds et de biens conscutives des fraudes, dtournements,
escroquerie, vol et actes de malveillance ou sabotage immatriel. Ce
contrat peut galement comporter des extensions de garantie aux pertes
d'exploitation conscutives une perte d'informations ou l'utilisation
non autorise de ressources informatiques.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 78


celles relatives des garanties spcifiques contre le dtournement ou
encore une assurance concernant les changes de donnes informatiques
("EDI")

En somme, ces trois types de garantie peuvent tre cumuls et tre consigns
dans une police unique dite "Globale Informatique" (GI). Une telle police
comporterait l'ensemble des garanties faisant l'objet des contrats examins ci-
dessus savoir:

les dommages matriels directs


les dommages conscutifs un dommage matriel direct
les pertes d'exploitation aprs interruption du service
les consquences des fraudes, dtournements, escroquerie, vols et actes de
malveillance, et ventuellement des extensions comme les agios bancaires.

iii. INTGRATION DE LA CHARTE DE SCURIT DANS LE


RGLEMENT INTRIEUR

Pour tre opposable aux salaris de lentreprise, la Charte doit tre adjointe au
rglement intrieur dans la mesure o:

d'une part, elle contient des rgles gnrales et permanentes quant


l'utilisation du matriel professionnel, et
d'autre part, elle relve de l'hygine, de la scurit et de la discipline en
entreprise.

Le code du travail Ivoirien stipule en son article 15.1, chapitre 5 du Titre 1er :
[]Avant de le mettre en vigueur, le chef d'entreprise doit communiquer le
rglement intrieur aux dlgus du personnel, s'il en existe, et l'Inspecteur du

C oncevoir la s cur it informatiq ue en entr ep ris e Page 79


travail et des lois sociales qui peut exiger le retrait ou la modification des
dispositions contraires aux lois et rglements en vigueur.

Les modalits de communication, de dpt et d'affichage du rglement intrieur,


ainsi que le nombre de travailleurs de l'entreprise au-dessus duquel l'existence de
ce rglement est obligatoire sont fixes par dcret.

Cet article dfinit les modalits procdurales de modification et de mise en


application dun rglement intrieur au sein de lentreprise. Toutes les dispositions
contenues dans le rglement intrieur sont opposables au salari de lentreprise et le
manquement aux dispositions dudit rglement entraine la responsabilit du salari
fautif. Le code du travail ivoirien cre cet effet, des obligations pour lemploy et
des droits pour lemployeur, quand il mentionne en son article 41.4 : L'employeur
ou son reprsentant doit organiser le contrle permanent du respect des rgles
d'hygine et de scurit.

Les salaris, de leur ct, doivent respecter les consignes qui leur sont donnes,
utiliser correctement les dispositifs de salubrit et de scurit, et s'abstenir de les
enlever ou de les modifier sans autorisation de l'employeur .

Linobservation des prescriptions ou injonctions manant du chef dentreprise,


travers le rglement intrieur par exemple est cause de faute professionnelle. Les
fautes selon leur niveau de gravit, pouvant tre voques par l'employeur sont :

- la faute lgre ou la faute d'imprudence.

Il sagit dune faute de moindre gravit mais qui fait perdre au salari, l'indemnit
de licenciement (Somme due par lemployeur au salari licenci hors cas de faute
grave ou lourde qui a au moins un an danciennet dans lentreprise). Cette
indemnit est fonction du salaire et de lanciennet de lintress et l'indemnit de
pravis (lindemnit compensatrice de pravis est donc gale la rmunration
habituelle du salari, avantages compris. Cest la somme due par lemployeur qui

C oncevoir la s cur it informatiq ue en entr ep ris e Page 80


dispense le salari dexcuter le pravis auquel il a droit en cas de rupture du
contrat).

- la faute grave

Cette faute est celle qui rend impossible la continuation du contrat de travail, mme
pendant la dure de pravis. Elle provoque la rupture immdiate du contrat de
travail. Cette faute fait perdre au salari l'indemnit de licenciement et l'indemnit
de pravis.

- la faute lourde

La faute lourde est une faute particulirement grave, intentionnelle comme le vol,
l'injure grave profre l'gard de l'employeur sur les lieux du travail et devant
tmoins et les actes indirects de concurrence. Le travailleur est alors priv de
l'indemnit de licenciement, l'indemnit de pravis et l'indemnit compensatrice de
congs pays.

Dans la conception de la scurit informatique en entreprise, les chartes


rpressives doivent tre revues et devenir plus consensuelles, afin doffrir une
alternative aux conventions collectives souvent vides de contenu car trop difficiles
ngocier avec les partenaires sociaux. Lorsqu'elles sont annexes au rglement
intrieur, les chartes informatiques sont sanctionnes sur le plan disciplinaire.
La faute grave peut justifier un licenciement tandis que la faute lourde permet en
outre de rechercher la responsabilit civile du salari pour le prjudice subi. La
faute lourde est, en droit du travail Ivoirien, limite l'action dolosive (manuvre
entaches dun dol destine tromper autrui pour engager sa responsabilit),
destine nuire dlibrment l'entreprise.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 81


5. La veille technologique

Avec lvolution effrne des technologies et partant des vulnrabilits, Il est vital
pour lentreprise de suivre quotidiennement les dernires mises jour et failles de
scurit, qui concernent le matriel informatique (serveurs, postes de travail,
logiciels, etc.) utilise dans larchitecture de son systme dinformation. La veille
technologique doit tre une tche entirement et exclusivement ddie un agent ou
selon besoin une quipe, constitue de personnels dots de connaissance en veille
en ligne. Au-del des outils logiciels de veille en ligne, il est galement conseill de
sinscrire sur les sites spcialiss, sabonner des mailing-list, flux RSS, forum
spcialiss, etc., pour recevoir ces informations de scurit. Cette dynamique de
veille permet de rester en contact permanent avec les changements qui interviennent
sur les systmes, rseaux, logiciels et de disposer dune capacit de raction plus
grande, en cas de problmes majeurs de scurit.

4 CHOIX DE LENVIRONNEMENT DE SECURITE

Lune des problmatiques centrales en matire de scurit informatique, reste le


choix de lenvironnement de production du systme dinformations. Le traditionnel
dbat entre les dfenseurs du logiciel libre et ceux des logiciels exclusifs, na pas
encore fini dalimenter les conversations entre professionnels et experts de la
scurit informatique. Au risque de perdre de vue lun des principaux enjeux de la
scurisation des SI, ignorer le rle et la place de plus en plus importante du logiciel
libre dans les stratgies de scurit en entreprise serait prjudiciable pour des
entreprises aux ressources limites. En effet, il est de nos jours rare de trouver des
entreprises au sein desquelles le systme dexploitation LINUX, ralisation phare
de lcole du libre, nest pas prsent quelque part. Mme si Linux reste encore trs

C oncevoir la s cur it informatiq ue en entr ep ris e Page 82


peu usit pour les travaux de bureautique, force est de constater que lOS 14 a
effectu une incursion spectaculaire dans le domaine du matriel informatique
(serveurs web, serveurs dapplications, base de donnes, poste de travail central,
etc.). De plus, tous les grands fournisseurs de matriel loffrent en option
prinstalle, signe de lacceptation de cette solution comme alternative majeure la
scurit.

Pour les entreprises en gnral et celles ressources limites en particulier, le


logiciel libre prsente des avantages indiscutables. Tout dabord, la gratuit des
applications dans un contexte de crise conomique gnralis permet de dployer
des solutions dentreprise viables en vitant les cots des licences dutilisation de
logiciels. En effet, les cots dexploitation et de maintenance des logiciels exclusifs
(propritaires) contraint de nombreuses entreprises adopter des comportements
potentiellement dangereux pour lintgrit des SI (utilisation de logiciels pirates
craqus, version limites, etc.).

Ensuite, le niveau de scurit des applications libres (open source) nest plus
dmontrer. En effet, laccessibilit au code source de lapplication favorise une
appropriation du concept mis en jeu dans la cration de lapplication et partant, un
contrle plus large de la fiabilit et de la scurit du code. Cette caractristique est
mise en lumire par les communauts dutilisateurs et de dveloppeurs de logiciels
libres aussi comptents que leurs collgues du logiciel exclusif, comme gage de
scurit. A titre dexemple, plusieurs algorithmes open source sont prsentement
trs utiliss dans les solutions de cryptage, tels que : OpenSSH, 3DES Blowfish,
AES et Arcfour. En outre mme le gant Google, a lanc son tour un outil de
chiffrement open source baptis KeyCzar. Sappuyant sur les bibliothques
OpenSSL, PyCrypto et Java JCE, cet algorithme serait cens aider les dveloppeurs
utiliser des technologies de chiffrement sres pour leurs applications.

14Operating System ou systme dexploitation. Programme informatique permettant lexploitation


proprement dite dun priphrique informatique ou TIC (smartphone, PC, etc.). Les plus clbres sont
Windows, LINUX, UNIX, Debian, etc.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 83


De plus, les logiciels libres prsentent une forte flexibilit et une adaptabilit. En
effet, les logiciels open source peuvent tre modifis et adapts pour rpondre des
exigences spcifiques dune organisation. Cette caractristique offre la possibilit
aux organisations de disposer dun outil pousant compltement les ralits et
attentes du systme dinformation, contrairement aux logiciels exclusifs.
Lentreprise adapte le logiciel ses attentes dans le cadre du libre et garde le
contrle de sa stratgie de dveloppement dans le cas du libre, tandis quelle
contrainte de sadapter la stratgie de dveloppement de lditeur de logiciel
exclusif. Cet tat de fait pose le problme des rythmes de changement de
lenvironnement de production, qui reste relativement supportable pour des
entreprises plus puissantes.

Enfin, tous ces avantages ne sauraient occulter les risques lis lutilisation de
logiciels libres. Notamment en ce qui concerne la fourniture de services de soutien
professionnels la mise en uvre des solutions. Le risque de dpendance un outil
non soutenu, dtre confront des bogues sur des solutions hbergeant des services
critiques pour lentreprise, nest pas ngliger. Cependant, de nombreux logiciels
open source bnficient de services de soutien non gratuits (payants) gnralement
assurs par des organisations ou entreprises but lucratif, qui se construisent le
modle conomique autour du projet dlaboration du logiciel libre en question.

Plusieurs logiciels open source sont commercialiss selon un modle de double


licence, savoir : une version soutenue par la communaut est disponible sous
licence dexploitation libre et une version soutenue par un revendeur est
commercialise sous licence dexploitation commerciale. Le systme dexploitation
Solaris de Sun, en est une des nombreuses illustrations. Ce modle de suivi du
logiciel propose en fin de compte un double niveau de soutien, qui renforce la
capacit de ractivit en cas de failles de scurit.

En rsum, la solution la plus adapte semble reposer dans ltablissement


dun compromis judicieux entre logiciel exclusif et libre. Le logiciel libre prsente
un avantage considrable pour les entreprises ressources limits, mais il convient

C oncevoir la s cur it informatiq ue en entr ep ris e Page 84


dlaborer des plans de secours, sappuyant sur des outils stratgiques anticipatifs. Il
sagit par exemple dvaluer les actifs reposant sur des logiciels libres et prvoir des
plans de remplaant ou lutilisation de ressources internes (humaines, techniques,
logiciels propritaires). Une solution libre, bien diffuse et largement soutenue par
une large collectivit, peux constituer un choix viable si les fonctionnalits
rpondent aux besoins de lentreprise. A lheure de lmergence des outils libres, les
entreprises qui nintgrent pas le logiciel libre dans leurs stratgies de scurit SI,
prennent le risque dtre la trane en termes de comptitivit.

Quelques logiciels libres appliqus la scurit infrmatique

Nmap : Permet le balayage automatis des ports TCP et UDP d'un systme distant Nmap -
sS -v -P0 -g 53 -p- -data-length 128 -T INSANE -sV -O -f oN ./rsultat.txt 192.168.0.0-
255
Wireshark : Outil d'coute de rseau
Nessus : Outil de balayage des vulnrabilits
Netcat : Permet de gnrer des connexions UDP et TCP
Snort : Permet de dtecter les intrusions
OpenSSH : Permet de se brancher d'autres ordinateurs sans mots de passe
OpenSSL : Protocole d'encapsulation scuritaire
John the Ripper : Attaque des mots de passe par force brute ou dictionnaires
VNC : Connexion distance facile et lgre
Iptables : Permet de tout bloquer
SpamAssasin : Anti-pourriel
ClamAv : Anti-virus gratuit
Firefox : Plug-ins qui font une partie du travail
Dig : Permet d'interroger un service DNS avanc
NsLookUp : Permet d'interroger un service DNS
Traceroute : Permet de dcouvrir des rseaux
Ping : Vrification de la prsence d'un systme
NbtStat : Affiche les statistiques du protocole NetBios
DBAN : Supprime les informations sur les disques
GPG : Permet le chiffrement
TrueCrypt : Permet le chiffrement du disque dur
NetStumbler : Permet de dtecter les rseaux sans-fils

C oncevoir la s cur it informatiq ue en entr ep ris e Page 85


ToneLoc : Balayage des lignes tlphoniques pour les modems
SeLinux : Permet d'analyser les actions prisent par les utilisateurs
Kismet : Outil d'coute rseau sans-fils
TripWire : Gestion des changements sur les systmes
Nikto : Outil automatis des services Web
JMeter : Permet de tester le comportement d'un systme Web Apache
IDSWakeUp : Permet de tester la fiabilit d'un systme de dtection d'intrusion
DSNIF : Permet d'couter et de capturer les informations communiques entre deux postes
rseaux
Achilles : Permet d'intercepter et de modifier les requtes http(s)
TsCrack : Attaque par force brute d'un service de bureau distant
Stunnel : Permet d'tablir un tunnel SSL
Packit : Outil de cration de paquet
PFSense : http://www.pfsense.com/
Outils de chiffrement pour linux :
o http://linuxhelp.blogspot.com/2006/08/disk-encryption-tools-for-linux-and.
Alternative Linux :
o http://www.linuxalt.com/
o http://www.econsultant.com/i-want-open-source-software/
o http://www.damicon.com/resources/opensoftware.html
Test de performance Apache Jmeter: http://jakarta.apache.org/jmeter/
IDS WakeUP: http://www.hsc.fr/ressources/outils/idswakeup/
MetaSploit : http://www.metasploit.org/

En rsume, la conception de la scurit informatique en entreprise, revient


dvelopper une culture profonde de la scurit en entreprise, pour ensuite crer des
liens organisationnels fonctionnels entre les acteurs et la politique de scurit. Ceci
revient :

- Savoir inscrire la dmarche scurit dans la dure et le long terme


- Valoriser les progrs accomplis
- Reconnaitre et couter les pratiques de terrain afin de conserver les acquis
- Savoir faire vivre les procdures tablies en partageant les expriences et en
les mettant jours en fonction de lvolution de lentreprise

C oncevoir la s cur it informatiq ue en entr ep ris e Page 86


- Mettre en place un systme de gestion des comptences et de formation
performant (recruter du personnel qualifi aux postes de scurit, initier tout
les employs la culture de scurit informatique, quelque soit les domaines
de comptence)
- Savoir faire partager les bonnes pratiques, retour dexprience (interne),
benchmarking (externe)
- Promouvoir une vision intgre de la scurit (aller au del des aspects
techniques de la scurit informatique et prendre en compte les aspects
organisationnels, humains, etc.)
- Instaurer un dialogue permanent entre les parties

C oncevoir la s cur it informatiq ue en entr ep ris e Page 87


TROISIEME PARTIE

RSSI, RM :
LES NOUVEAUX METIERS DE LA
SECURITE DES SYSTEMES
DINFORMATIONS

C oncevoir la s cur it informatiq ue en entr ep ris e Page 88


1 QUI EST LE RSSI?

Limportance capitale qua acquise la scurit des systmes dinformations, a


ncessit une rorganisation et une redfinition des concepts de bases du secteur de
la scurit. En effet, si les budgets et autres dpenses lies la scurit restent
encore trs faibles comparativement dautres secteurs, il convient de noter que les
mtiers de scurit informatique tendent se professionnaliser et acqurir une plus
grande importance dans les stratgies des entreprises. Si le comptable (secteur
financier) est le responsable de la sant financire de lentreprise, le Responsable de
la Scurit des Systmes dInformation (RSSI) est lui, le comptable de la sant
informatique de lentreprise.

1 ROLE DU RSSI

Le RSSI est celui qui est charg de la dfinition et de la mise en uvre de


la politique de scurit de l'entreprise. Il possde en outre un rle stratgique
d'information, de conseil et d'alerte de la direction gnrale sur les risques en
matire de scurit informatique.
La fonction de RSSI est essentiellement managriale et consiste encadrer une
quipe d'ingnieurs et de techniciens d'exploitation, dont il organise et contrle le
travail. Selon le CIGREF15, le RSSI assure un rle de conseil, dassistance,
dinformation et de prconisation. Il peut intervenir sur tout ou partie des systmes
informatiques et tlcoms de son entreprise. Il effectue un travail de veille

15 Club Informatique des Grandes Entreprises Franaises

C oncevoir la s cur it informatiq ue en entr ep ris e Page 89


technologique et rglementaire sur son domaine et propose des volutions quil
juge ncessaires pour garantir la scurit logique, physique, etc., du systme
dinformation dans son ensemble. Il est linterface reconnue des exploitants et des
chefs de projet, mais aussi des experts et des intervenants extrieurs pour les
questions de scurit de tout ou partie du systme dInformation .

Dans les faits, son rle va plus loin. En effet, il est charg de lvaluation et de la
gestion des risques lis au SI. Il assure dans ce contexte, une fonction transverse de
manager :
en rassemblant de nombreux contributeurs ( la communication, aux
ressources humaines, la stratgie, au juridique, au contrle interne,
laudit, etc.)
en dialoguant avec les directions mtier et la direction des systmes
dinformation sur les objectifs de scurit dfinir, les rfrentiels de
scurit appliquer, les parades mettre en place
en dfinissant les exigences attendues en matire de scurit.

Face la complexit accrue des systmes dinformations et des technologies de


linformation utilises, face aux exigences rglementaires et face la
dmultiplication des prestations dinfogrance et dexternalisation, le RSSI est
oblig de considrer le systme dinformation dans sa globalit. Pour ce faire, il doit
ncessairement sentourer dexperts techniques (ingnieurs systme, rseaux,
dveloppement, juristes, marketing, etc.), afin de prendre en compte tous les aspects
ayant trait la gestion oprationnelle des risques sous sa responsabilit.
En sa qualit de responsable de la gestion des risques lis aux SI, la fonction de
RSSI ncessite plus que jamais son implication directe dans la dfinition et la
gestion des actions de scurisation. Celle-ci doit se traduire par sa participation
active aux diffrentes phases du processus de gestion des risques (identification des
risques, plan daction de rduction et de contrle, valuation des contre-mesures
mises en place).

C oncevoir la s cur it informatiq ue en entr ep ris e Page 90


2 MISSIONS DU RSSI

Les principaux objectifs du RSSI sont les suivants :


I. Prvenir les risques ds les phases de dveloppement des projets : conseiller
en amont les matres duvre et matres douvrages sur tous les nouveaux
projets, en y intgrant une dimension scurit. Le RSSI sassure de la prise
en compte des exigences de scurit et valide ces exigences dans les cahiers
des charges des projets sensibles
Proposer des plans dactions de rduction et de contrle : le RSSI propose
des actions et prsente les moyens mettre en uvre pour garantir un niveau
de risque acceptable et accept par lentreprise. Pour ce faire, il met en place
et pilote les comits de contrle et de pilotage de la scurit
Obtenir des dcisions vis--vis des plans daction : Suivre la mise en place
des plans dactions dcids : le RSSI vrifie que les solutions mises en place
rpondent aux contraintes scuritaires et sont conformes aux cahiers des
charges. Le RSSI dfinit et met en place des bases dincidents
Rendre compte la Direction gnrale et communiquer sur la scurit des
SI, avec la direction des systmes dinformation : Le RSSI dfinit et propose
la politique de scurit afin de la faire approuver par la Direction Gnrale
Sensibiliser toutes les quipes la scurit des systmes dinformation : Le
RSSI dfinit les rfrentiels de scurit de lentreprise et notamment ceux
relatifs aux bonnes pratiques

3 POSITIONNEMENT AU SEIN DE LENTREPRISE

Dans de nombreuses grandes entreprises, le RSSI est rattach au directeur des


systmes dinformation (DSI). Dans les entreprises moins "puissantes", le rle de
RSSI nest pas trs clairement tablit et il est trs souvent confi un agent
disposant de connaissance en informatique, le plus souvent reli au Directeur

C oncevoir la s cur it informatiq ue en entr ep ris e Page 91


Informatique. La tendance est plutt la dsignation dun agent disposant de
connaissances gnrales en informatique et dans les divers domaines touchs par les
exigences de la scurit informatique (juridique, marketing, ressources humaines,
etc.).
Dans les grandes entreprises, le dpartement scurit des systmes dinformations
est autonome et indpendant de la Direction informatique. Dans ce genre
dentreprise, la Direction Gnrale dlgue au RSSI la responsabilit de coordonner
la mise en uvre et le contrle de la politique de scurit des SI tous les chelons
et domaines de lentreprise et ce, sous la responsabilit hirarchique de la Direction
des systmes dinformation.

4 DEVENIR RSSI

A priori, la fonction de RSSI est destine aux professionnels du domaine de


linformatique, impliqus dans la scurit au sein de lentreprise. Mais en pratique,
la fonction de RSSI est accessible toute personne possdant des connaissances en
matire de rseaux et dinformatique, souhaitant approfondir leurs connaissances en
matire de management de la scurit.
Si la matrise du savoir faire technologique est un plus, le RSSI doit possder des
savoirs faire gnraux primordiaux, tels que la comprhension de lenvironnement
et du fonctionnement de lentreprise, la connaissance des clients de la DSI (activits
et besoins), et des aptitudes comportementales essentielles comme la rigueur, le
sens de la mthode et de la probit, ainsi que des talents de communicateur et
dorganisateur, afin de concilier au mieux les interventions des experts techniques
(informaticiens, juristes, etc.) dans la ralisation des objectifs lis la scurit.
Aussi, une bonne connaissance des normes de rfrentiels de scurit : ISO 15408,
La famille des normes ISO 27000, ITIL/Cobit, PCI/DSS, BS7789-2, etc. est-elle
dune importance capitale.
Notons quil nexiste pas lheure quil est, de diplme spcifique cette
fonction, mais des certifications franaises et Europennes naissent trs

C oncevoir la s cur it informatiq ue en entr ep ris e Page 92


progressivement. Toutefois, un DESS en scurit des systmes dinformation est
disponible lUniversit des Technologies de Troyes en FRANCE. Si le mtier de
RSSI a acquis dans les grandes organisations une reconnaissance de la part des
professionnels, il peine encore sinstaller dans les entreprises voluant dans des
cosystmes IT moins volus.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 93


2 RISK MANAGER (RM) ET RSSI :
DEUX FONCTIONS COMPLEMENTAIRES

1 LA FONCTION RISK MANAGER ( RM OU MANAGER DE


RISQUES)

Dorigine anglo-saxonne, ce mtier sest implant progressivement en France


depuis les annes 70, notamment avec les activits industrielles hauts risques :
chimie, ptrole, explosifs, etc. Gnralement le Risk manager gre la politique et le
plan dassurance de lentreprise. Selon les cas, il peut clairer la direction gnrale
sur les risques majeurs encourus (risques stratgiques, oprationnels, potentiels et
avrs), leur niveau de matrise et la faon dont sont traits les risques rsiduels
(solutions de financement sur fonds propres travers le recours aux assurances et
autres solutions alternatives de financement).
Dans certaines entreprises, il est le moteur des dynamiques danalyse globales des
risques et daccompagnement des mesures globales daccompagnement. Dans le
secteur bancaire par exemple, les accords de Ble 2, sur la gestion des risques
oprationnels, offrent des lments de cadrage particulirement pertinents. Ces
principales missions sont de :
Concevoir des outils et mthodes de gestion des risques,
Elaborer et mettre en uvre la politique et le plan dassurance de
lentreprise,

C oncevoir la s cur it informatiq ue en entr ep ris e Page 94


Conseiller les mtiers sur les mesures de prvention, protection, dtection et
raction un risque,
Communiquer sur les risques avec la direction gnrale.
Il a un rle trs important, en ce sens quil doit maintenir les rseaux de veille et
dalertes, convaincre et fdrer le milieu professionnel, grer les incidents et les
crises, ngocier les contrats dassurance, grer les flux financiers et diffuser la
culture de la scurit dans toutes se composantes. Trs souvent rattach aux
directions juridiques ou financires, il serait idal que le Risk Manager soit
directement rattach la Direction Gnrale, vu son rle stratgique majeur.
Sils ne sont pas les seuls acteurs en charge de la gestion des risques, le RM et le
RSSI sont en revanche les seuls garants de lidentification des risques lis au
Systme dinformation et de la mise en uvre des moyens pour contrler et grer
ces risques.
Le RM ne disposant trs souvent pas dune expertise SI, sappuie sur les travaux et
actions menes par le RSSI, pour identifier et participer la matrise des risques.
Par ailleurs, le RSSI sappuiera sur les travaux du RM, pour dfinir les priorits et le
niveau des contre-mesures mettre en place en fonction des solutions de
financement des risques rsiduels envisageables.

2 ATTENTES ET APPORTS RECIPROQUES ENTRE RM ET RSSI

Une des grandes difficults du RSSI est de proposer des actions de rduction et de
contrle des risques en adquation avec les enjeux de lentreprise et
complmentaires aux solutions de financement des risques rsiduels envisageables.
En effet, pour tre efficace, la scurit des Si doit rpondre de manire
proportionne la couverture de chaque risque identifi et non-accept. De ce point
de vue, un travail commun avec le RM est ncessaire pour structurer la dmarche de
matrise des risques de faon ajuster en consquence, les montants garantir et si

C oncevoir la s cur it informatiq ue en entr ep ris e Page 95


ncessaire, concevoir des solutions alternatives de financement du risque rsiduel
(rcupration).
De lautre ct, le RM dans sa fonction de manageur du risque se trouve confront
des difficults considrables. Dune part, tous les risques identifis ne sont
assurables, dautre part les risques assurables, ne le sont quen partie dans la
pratiques, en tenant compte des franchises dans les contrats (disposition prvue dans
un contrat dassurance, traduit par une somme dargent la charge de lassur en
cas de survenu dun sinistre).
Pour lever toutes ces difficults, le RM doit disposer des informations qui lui
permettront de traiter le risque en amont et non en aval, lorsquil sagit de rgler un
prjudice. Il sagit pour le RM dtablir un langage commun en adquation avec les
enjeux et objectifs de lentreprise de faon carter autant que faire se peut tout
risque de contentieux entre lassureur et lassur au moment de la survenu dun
sinistre.
Lanalyse de linteraction entre le RM et le RSSI traduit la ncessit dtablir un
vritable dialogue entre ces deux fonctions. Bien que ces deux fonctions
stratgiques soit distinctes par les mthodologies et les outils de travail, elles
poursuivent les mmes objectifs, savoir la matrise du risque et lassurance dun
niveau de scurit accept par lentreprise, en considration de sa culture, ses
objectifs. Toutefois, il est noter que la tendance est plutt un jumelage de ses
fonctions. En effet, les entreprises tendent confier lessentiel de ses missions et
tches des entits uniques, ce qui augmente les risques de dfaillance graves dans
la scurit en gnral, et dans la scurit des SI en particulier.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 96


3 NOUVEAUX DEFIS DU RSSI EN
ENTREPRISE

En 2012, les attaques diriges contre les PME ont reprsent prs du tiers des
actions (31%) et le nombre des cyberattaques cibles a augment de 42 % dans le
monde, selon un rapport de la socit amricaine de scurit informatique
SYMANTEC.
Les attaques de plus en plus complexes et astucieuses, face une technologie
dynamique et des utilisateurs de plus en plus dpendants, soulignent dun double
trait la ncessit de proposer des stratgies globales et cohrentes.
En plus des menaces classiques de scurit informatique, le dveloppement de
lInternet embraqu et la virtualisation de linformatique ont rajout une couche de
difficult la mission des responsables de la scurit des systmes dinformation. A
lre du web 2.0 et de lInternet trs haut dbit, les challenges que doivent
affronter les professionnels de la scurit informatiques sont normes.

1 LE SOCIAL ENGINEERING

Le social engineering ou ingnierie sociale est une forme de cybercriminalit


qui a pour but dobtenir de la part de sa victime, quelle ralise une action que vous
lui dictez de faire (effectuer un virement bancaire, dsactiver un antivirus, formater
un serveur, ouvrir une pice jointe, etc.) ou vous remettre volontairement des
informations sensibles auxquelles vous ntes pas cens avoir lgitimement accs

C oncevoir la s cur it informatiq ue en entr ep ris e Page 97


(mot de passe, code daccs, etc.). Cette technique sappuie sur la manipulation et la
force de persuasion, afin dacqurir de faon dloyale une information ou une la
ralisation dune action.
Utilisant ses connaissances et les renseignements dont il dispose sur la cible, le
hacker abuse de la confiance, de lignorance ou de la crdulit de ses victimes pour
parvenir ses fins malveillantes.
Lamlioration des techniques de scurisation des SI entraine pour les pirates, une
augmentation du niveau de difficult des attaques ciblant les serveurs, donc une
diminution de la rentabilit de celles-ci. Les experts en scurit informatiques
constatent que les pirates se sont tourns ces derniers mois, vers le poste de
lutilisateur lintrieur de lentreprise. Ainsi pour atteindre une grande entreprise
qui travaille avec des sous-traitants, le moins prilleux pour lattaquant sera de
tenter de gagner un accs sur le poste de travail dun utilisateur de la PME, afin
dexploiter le facteur confiance pour accder aux serveurs de la grande entreprise
De plus, les variations et techniques connexes ne cessent de grandir, notamment le
phishing et sa variante le spear phishing .
Les attaques de type phishing sont dsormais cibles et personnalises, afin davoir
un impact certains sur des utilisateurs peu aguerris en matire de scurit. Dans le
cas o ladministrateur rseau par exemple est vis, lensemble du personnel non-
technique avec qui il entretient des liens troits de travail au sein de lentreprise,
constitue une cible de choix pour lattaquant.
En outre, une des dernires tendances en matire de cybercriminalit astucieuse, est
la fameuse attaque dite whater hole ou trou deau. Cette attaque consiste
traquer les hobbies et habitudes de navigation (sites web les plus visits, sites de
divertissement) dun agent, afin de sintroduire dans le systme de lentreprise par
son biais. Lattaquant tudie et rpertorie les hobbies de sa cible, avant de piger les
sites web auxquelles elle a rgulirement accs (jeux, chat, divertissement, etc.).
Ensuite il peut aisment prendre le contrle de la machine de sa victime en utilisant
des scripts malveillants.
Notons que le but de ces attaques nest pas toujours de voler des informations
personnelles ou sensibles, mais elles peuvent galement servir prendre le contrle

C oncevoir la s cur it informatiq ue en entr ep ris e Page 98


des infrastructures informatiques dune entreprise, afin de raliser des attaques
contre dautres entreprises (PC-Zombies dans des rseaux de BOTNET).

2 LE BYOD (BRING YOUR OWN DEVICE)

Le BYOD (bring your own device ou Apportez Votre Propre priphrique ) est
une pratique qui consiste pour lemploy utiliser ses quipements personnels
(Smartphone, ordinateurs portables, etc.) dans le cadre de la ralisation de ses tches
professionnelles. Cest une tendance gnralise dans le monde de lentreprise est
dautant plus accentue dans les PME, au sein desquelles plus de 65% des salaris
auraient recours en France.
Cette tendance est soutenue par les exigences de scurit auxquelles les
responsables de la scurit des systmes dinformations doivent faire face et les
exigences budgtaires y associes. En effet, on demande trs souvent aux DSI et
RSSI dassurer un niveau lev de scurit avec des moyens trs limits, ce qui a
pour effet de conduire ces responsables scurit se tourner vers de nouvelles
alternatives. Le BYOD assure indniablement une rduction des cots des
investissements en quipements et comporte bien dautres avantages, qui ne
sauraient pour autant occulter les risques normes de scurit y associs.
Le BYOD fait rfrence tout type dquipements physiques personnels
(Smartphone, tablettes, blackberry, etc.), mais aussi des services hbergs dans le
Cloud. Le BYOD, bien maitris et bien encadr peut permettre une rduction des
dpenses et une maximisation de la productivit et des revenus.
Les risques de scurit dans un systme de BYOD implment sans une stratgie
cohrente avec les objectifs de lentreprise, constitue un risque mortel pour
lentreprise.
Une fois de plus, la solution rside dans la mise en place dune stratgie concerte,
base sur le bon vouloir des employs dutiliser leurs quipements personnels dans
le respect des rgles dfinies et ladhsion totale la politique de scurit de
lentreprise.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 99


3 LA SENSIBILISATION EN ENTREPRISE

Processus volutif et stratgique pour lentreprise, la sensibilisation a pour fin de


modifier les regards, la perception et partant, les comportements des individus en ce
qui concerne des enjeux distincts lis lactualit de chaque organisation. Il peut
sagir de la promotion du dveloppement durable, projet de changement
(dmnagement, nouvelle organisation, etc.), meilleure insertion des personnes
handicapes dans lentreprise, promotion de la parit, scurit de linformation,
bien-tre au travail, etc.
Une sensibilisation efficace se doit dtre base sur le long et moyen terme, afin de
favoriser un changement habitudes, de comportements, de croyances, de
convictions, etc. Pour ce faire, la sensibilisation doit tre considre comme un
vritable projet stratgique de dveloppement, cest--dire : bnficier dun
financement (budget prvisionnel), dune stratgie intgre et de moyens de
contrle de lefficacit.
Un personnel sensibilis est un personnel qui a reu des informations, les a intgrs
en fonction de sa propre sensibilit et ses aptitudes intellectuelles. Lobjectif lorsque
lon entreprend une dmarche de sensibilisation, est darriver faire voluer la
culture individuelle et collective susceptible de produire le changement escompt.
Globalement la sensibilisation est un effort de recadrage.
Selon les travaux du Dr. KOURILISKY Franoise, Docteur en psychologie et
diplme de Sciences Politiques, le processus de sensibilisation doit respecter les
trois tapes suivantes :

Etape 1 : Le recadrage de point de vue en premier lieu car nous ne


percevons la ralit quau travers de nos points de vue, de nos grilles de
comprhension ; cette perception est donc forcment partielle et
partiale. En ce sens, des actions de sensibilisation impliquant des
personnages mis en situation pourront accompagner cette tape o il
faut que chacun puisse dplacer son propre point de vue. En ce sens,

C oncevoir la s cur it informatiq ue en entr ep ris e Page 100


des mdias combins en un parcours ou en supports de communications
aideront chacun simaginer ou au contraire, sopposer aux actions et
dcisions des personnages mis en scne.

Etape 2 : Le recadrage de sens qui permet, sur des sujets et/ou faits
identiques, de proposer une nouvelle interprtation, un sens nouveau.
Par exemple, il savre difficile de sensibiliser sur la scurit de
linformation au sein des entreprises car les comportements attendus
sont souvent interprts comme des freins, des contraintes. Une
action de sensibilisation sur les mmes sujets mais portant sur les
risques personnels quant la scurit des informations permettra de
fournir dautres types dinterprtations qui apporteront un sens nouveau
et des lments dacceptation de llan de sensibilisation.

Etape 3 : Le recadrage de comportement. Cette dernire tape insiste


sur le fait que lexplication, seule, nest pas une condition suffisante
pour changer. La raison principale en est que le comportement rsulte
dune certaine cohrence entre la personne qui le produit et sa vision du
monde, de la situation. On agit gnralement dans le sens de nos
croyances, pas lencontre de celles-ci et malgr les risques que cela
peut nous faire courir (sanctions professionnelles, risques lis la sant
etc.).

Recadrage de Recadrage de Recadrage de


point de vue sens comportement

Figure 4: Processus de sensibilisation

C oncevoir la s cur it informatiq ue en entr ep ris e Page 101


4 QUELQUES METHODES ET
OUTILS DORIENTATION DE LA
SECURISATION DE LINFORMATION
EN ENTREPRISE

En amont de toute tentative de proposition de stratgie de scurisation de


linformation en entreprise, un diagnostic bas sur des objectifs cls tenant compte
de la spcificit de lentreprise doit tre tabli. Les questions principales que les
responsables de la scurit informatique en tant que processus intgr au sein de
lentreprise, devraient se poser dans llaboration des mesures de scurit
informatique sont les suivantes :
Quest-ce qui est critique pour mon entreprise en termes dinfrastructure?
Mon entreprise est-elle bien outille en termes de scurit de linformation?
Mon SI assure-t-il la prennit, la confidentialit, lintgrit des mes
donnes sensibles?
Quels sont les enjeux de la protection de mes donnes sensibles ?
Lenvironnement interne est-il bien matris ?
Mes collaborateurs adhrent-ils au projet scurit SI de lentreprise ?
Les ressources alloues sont elles cohrentes avec mes objectifs de scurit ?

C oncevoir la s cur it informatiq ue en entr ep ris e Page 102


De nos jours, linformation est au cur du dveloppement des entreprises. En effet,
elle a acquis une importance capitale, puisquelle reprsente une valeur marchande
considrable et incontestable. Linformation constitue aujourdhui le nerf de la
guerre conomique.
Au del des dfinitions purement techniques, faire de la scurit informatique
revient dans un sens protger les informations que contiennent les systmes
dinformation. Car en vrit, quand on perd un ordinateur portable, ou tlphone
mobile (PDA, Smartphone, etc.) ou tout autre device, ce nest pas le matriel en lui
mme qui reprsente la plus grosse perte, mais plutt les donnes quil contient.
Lon aurait plus de mal a valuer la valeur marchande des actifs informationnels de
son entreprise, que celle du matriel. De ce fait, il convient dassurer une protection
maximale de linformation au sein de lentreprise.
De manire gnrale, lon distingue au sein de lentreprise, deux catgories
dinformations:
les informations publiques
les informations prives (internes).

Cette section prsente un ramassis de techniques et stratgies qui adaptes au


contexte de lentreprise pourraient constituer des lments cls de la stratgie de
scurisation de linformation.

1 PROTEGER LES INFORMATIONS PUBLIQUES

1. Achats scuriss :

Les webmasters ou les personnes ayant crs la page web doivent disposer dun
cryptage scuris (du type https://www.nomdusite.ci) pour que des renifleurs ne
puissent pas obtenir eux aussi les donnes du client en train deffectuer une
transaction. Cette mention est trs importante quand il sagit dutiliser des sites o

C oncevoir la s cur it informatiq ue en entr ep ris e Page 103


lon vous demande des donnes confidentielles (mot de passe, numro de carte de
crdit, etc.). Par exemple sur les pages de e-banking ou de rseaux sociaux
(Facebook, Twitter, etc.) ou pour votre compte de messagerie interne. Aujourdhui
pratiquement tous les sites necessitant la communiction dinformations sensibles
utilisent des protocoles de chiffrement tels SSL/TLS.
Les webmasters doivent utiliser des cls de chiffrement ayant une longueur
suprieure ou gale 80 bits, plus difficile craquer. Utiliser un navigateur qui
supporte le 128 bits. Ne pas hsiter pour les groupes ne disposant pas de grands
moyens techniques et financiers, recourir aux intermdiaires financiers (banques,
plateforme de e-commerce, etc.)
En rsum, il ny a point de salut sans le protocole SSL (Secure Socket Layer),
utilis pour scuriser les transactions.

2. Sauvegarde des donnes

Sauvegarder les donnes est capitale pour une entreprise, quelle que soit sa taille, du
moment o une information importante pour lentreprise est stocke dans son
systme dinformation. Les professionnel de la scurit sefforcent garantir un
niveau de scurit satisfaisant, mais il nest pas exclu que des failles (risques
logiques, risques physiques) puissent exister, susceptible dentrainer la perte des
donnes de lentreprise.
Effectuer des partitions dans votre disque dur et sauvegarder les donnes de votre
site web, par des mcanismes de backup. De plus, assurez-vous que vos donnes
soient uniquement en mode lecture sur le Net. La frquence des sauvegardes dpend
de la quantit de donnes que vous acceptez de perdre en cas de destruction de vos
donnes.
Prvoir des rgles de stockage physiques trs pointues, afin de conserver les
sauvegardes physiques (disk dur, Cd, ect.) loin des ordinateurs qui contiennent les
donnes originales.
Dans le cas de donnes chiffres, il faut galement penser sauvegarder les cls de
chiffrement, afin de pouvoir accder aux donnes sauvegardes.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 104


Il est conseill de procder une sauvegarde automatique au del de 10 utilisateurs.

En somme trois alternatives soffrent aux entreprises, savoir :


Sauvegarde sur PC et disques externes
Elle a lavantage de pouvoir tre ralise de n importe o, quand lon dispose de
matriel portable, mais demande beaucoup plus de temps.

Sauvegarde sur un serveur entreprise


Les risques de perte de fichiers sont considrablement rduits avec lutilisation dun
serveur entreprise. Les sauvegardes y sont automatiques et scurise, mais les
risques de dcalages de temps peuvent entrainer des pertes de donnes.

Tl-sauvegarde des donnes


Un serveur distant install chez le prestataire de service de tl-sauvegarde de
donnes, effectue automatiquement la sauvegarde de vos donnes. Cette alternative
prsente lavantage de ne ncessiter aucune intervention technique du client et
propose un grand volume de stockage. Cependant les couts de souscription ces
services peuvent tre trs normes et la sauvegarde dpend exclusivement de la
disponibilit de la connexion Internet.
Amanda (Unix, Windows)
Atempo Time Navigator
EMC Networker
HP Data Protector
Veritas NetBackup DataCenter
IBM TSM (Tivoli System Management)
Rsync
RAID
Mtree

Pour aller plus loin :


http://www.telechargercours.com/securite/la-sauvegarde-des-
donnees-integrite-et-disponibilite-du-systeme-informatique/
http://www.freebsd.org/doc/fr_FR.ISO8859-
1/books/handbook/backup-strategies.html
C oncevoir la s cur it informatiq ue en entr ep ris e Page 105
3. Utilisation de la carte bancaire

Avec le dveloppement des TIC et le taux de pntration dInternet dans nos pays
Africains, limminence de lexplosion du commerce lectronique se fait
grandissante. Si vous effectuez des achats ou toute autre transaction par carte
bancaire, il faut sassurer que cette dernire na pas t vole ou falsifie, do la
ncessit de se procurer ces cartes auprs de fournisseurs agrs.
Vrifiez galement lauthenticit des sites sur lesquels vous effectuez des
transactions, en saisissant directement ladresse url du site dans la barre dadresse,
afin dviter les attaques par Phishing. Entre autres, ne divulguez jamais votre mot
de passe et conservez le jalousement, de sorte ntre que le seul zn avoir
connaissance.

4. Les annonces publicitaires

De nombreuses entreprises par le biais des webmasters et autres personnels du


dpartement marketing commettent souvent lerreur de publier des informations
sensibles, des fins commerciales. Citer par exemple dans des annonces
publicitaires, la version du systme dexploitation utilis sur le serveur de votre
entreprise, les logiciels et progiciels utiliss en interne, les protocoles de
chiffrements spcifiques, la qualit du materiel, etc. ; dans le but daugmenter la
confiance des partenaires et clients de votre entreprises, peut constituer une faille
exploitable par des cybercriminels. Publier de telles informations facilite la phase la
plus difficile de toute attaque informatique, savoir le footprinting (collecte
dinformations).
Des cybercriminels qui dsirent obtenir illicitement vos donnes, pourront se servir
de telles informations pour mener des attaques pour le social engineering ou par
analogies en exploitant des techniques connues sur le matriel que vous utilisez.
Il faut trouver un compromis entre les objectifs de vente du marketing et les
objectifs de scurit de la DSI.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 106


5. Les Spams

Lentreprise doit laisser le choix aux clients de signaler clairement sils souhaitent
recevoir de faon priodique (chaque semaine ou mois) un catalogue de ses offres
ou toutes sortes de publicit. Car les spams, dans tous les autres pays dots dune
lgislation en la matire, sont illgaux et passibles de poursuites judiciaires. La
tendance en la matire dans les lgislations en cours en Cte dIvoire et dans les
pays dAfrique devrait suivre cette dynamique. Une des techniques anti-spam
consiste publier son adresse e-mail dans des fichiers images publis dans les pages
web. Ainsi les robots utiliss par certains spammeurs nindexeront pas votre adresse
lectronique, rduisant du coup les risques dtre spamm. Sinon des solutions
techniques spcifiques existent, tels que : SpamAssassin : anti-pourriel open
source, etc .

2 PROTEGER LES INFORMATIONS PRIVEES (INTERNES)

1. Cration de badges de couleurs diffrentes

La cration de badges de couleurs diffrentes, munis de grandes photographies,


permet de distinguer les salaris des services, les stagiaires, les sous-traitants, les
fournisseurs, les partenaires commerciaux et les autres visiteurs. Cette stratgie vise
renforcer la scurit physique du systme dexploitation, car sil est
techniquement prilleux de faire tomber un serveur bien protg, il en est moins
difficile den rompre lalimentation lectrique par exemple.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 107


2. Cration et gestion de mots de passe complexes

La cration dune stratgie de mots de passe complexes pour le service informatique


va permettre dutiliser une srie de combinaisons de majuscules, de minuscules et
de numros. Il est conseill de suivre les rgles suivantes :
i. La taille du mot de passe ne doit pas tre infrieure 8 caractres
ii. Le mot de passe ne doit figurer sur aucune liste de mots de passe dits
classiques (12345, password, motdepasse, etc.),
iii. Le mot de passe ne doit pas tre un mot du dictionnaire, car il pourrait tre
crack en utilisant la technique dite de brute force
iv. La dure de validit du mot de passe doit tre limite pour les accs aux
comptes dentreprises (messagerie, etc.), afin de sassurer que les mots de
passe seront rgulirement changs
Ces diffrentes exigences doivent faire lobjet de chapitres spcifiques dans la
politique de scurit. En outre il faut encourager et inciter les employs crer des
mthodes de dfinition de mot de passe robustes. Une mthode trs simple mais
autant efficace faisant appel la mnmotechnique est gnralement utilise. Il sagit
de traduire des phrases en mots de passe, en utilisant les premires lettres de chaque
mot pour constituer le mot de passe. Lon pourrait inclure des chiffres, caractre
spciaux et lettres majuscules, afin de daugmenter le niveau de complexit du mot
de passe, comme dans lexemple qui suit.
Phrase : Je suis le pre de deux enfants nomms Yves et Marie-claire
Traduction en mot de passe : JslPd2EnY&M-C
J (je) s (suis) l (le) P (pre) d (de) 2 (deux) E (enfants) n (nomms) Y (yves) & (et)
M-C (Marie-Claire).
Bien videmment, il existe de nombreuses techniques de cration de mots de passe
forts ; quil faut mettre en uvre, afin dassurer un niveau de force suffisant des
mots de passe des employs de lentreprise. Lutilisation de mots de passe construits
en combinant des mots tirs de nos patois peut savrer tre une stratgie efficace.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 108


De plus, il est prfrable dutiliser des mots de passe diffrents pour chaque compte
(messagerie, bancaire, etc.) et de changer rgulirement les mots de passe (chaque
deux mois de prfrence).
De nombreux outils en ligne permettent de tester la force de son mot de passe.
https://www.microsoft.com/fr-fr/security/password-checker.aspx
http://www.microsoft.com/canada/fr/athome/security/privacy/password_checker.ms
px
http://www.passwordmeter.com

3. Installation dun antivirus, un anti-troyen, un pare-feu

Chaque ordinateur doit disposer dun antivirus et dun anti-troyen puissants et


toujours actualiss (application de patches), ainsi que dun pare-feu correctement
configur par le service informatique. Une mise jour sera effectue
priodiquement, en fonction des exigences et spcificits de la politique de scurit.

4. Masquage des proprits du systme

Cette stratgie peut sappliquer aux personnes qui nutilisent jamais les connexions
distance, et travaillent toujours sur le mme ordinateur fixe, dans le mme bureau.
Chaque ordinateur sera orn dune tiquette indiquant le matricule de la machine
(ce numro est celui que les salaris communiqueront au service informatique en
cas de dfaillance devant tre rsolue distance). Les administrateurs auront
pralablement interdit laccs aux proprits systme en mentionnant le nom de
lordinateur pour viter toute fuite dinformation.
Utiles pour les catgories demploys qui ont une utilisation assez basique des
ordinateurs (secrtaires, juristes, personnels non-techniques, etc.)

C oncevoir la s cur it informatiq ue en entr ep ris e Page 109


5. Dsactivation des outils amovibles

Cette stratgie peut sappliquer si les salaris nont pas dintrt utiliser une cl
USB, une disquette ou graver des CD-ROM. Cela dpend de leur dfinition de
fonction et de la nature des activits autorises au sein de lentreprise. Cette
technique est utilise dans la plupart des entreprises industrielles et de tlphonie,
o les ordinateurs sont tous mis en rseaux et interconnects entre eux. Ceci permet
de limiter voire rduire les risques de contagion virale via les priphriques
amovibles (USB, disquettes, etc.) et mme de prvenir les risques de fuites
dinformations, ou du moins den assurer une traabilit.

6. Etablissement de codes couleur et sensibilit des informations

La hirarchie et la sensibilit des informations peuvent correspondre une couleur


dfinie dans un code couleur interne lentreprise. Ce systme dautocollants de
couleurs est applicable sur les dossiers, sur les pages dun document physique ou
numrique, sur les CD-ROM, dfinissant ainsi limportance de la confidentialit du
contenu des informations (publiques, sensibles, confidentielles). Aussi, il faut viter
de mettre sur un mme support papier ou numrique, des informations de niveau de
confidentialit diffrentes. Les employs auront accs une catgorie
dinformation, en fonction de leurs privilges et des missions qui leur sont assignes

7. Cration de messages d'erreur scuriss

Ne concevez pas de messages d'erreurs automatiss, reproduisant des informations


telles qu'un nom d'utilisateur, la version dun serveur, etc., celles-ci pourraient tre
utilises par un attaquant malveillant.
Pour ce faire, configurez l'application de faon ne pas afficher d'erreurs trop
dtailles sur les caractristiques du matriel utilis.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 110


Dans le cas o vous souhaitez afficher des messages d'erreur dtaills en vue du
dbogage, vrifiez pralablement que l'utilisateur est local au serveur Web et crez
une gestion des erreurs personnalise pour les situations sujettes aux erreurs, telles
que l'accs aux bases de donnes.

8. Utilisation scurise des cookies

Les cookies sont un moyen simple et utile de conserver des informations propres
l'utilisateur de faon accessible. Toutefois, tant donn que les cookies sont envoys
l'ordinateur sur lequel s'excute le navigateur, ils sont vulnrables face
l'usurpation ou d'autres utilisations malveillantes (session Hi-Jacking, etc.). Au
moment de la ralisation dune transaction sur le web, trois types de menaces psent
sur les cookies.
i. Les menaces lies au rseau
ii. Les menaces lies aux extrmits du rseau
iii. Les menaces lies la collecte de cookies
Pour assurer une utilisation scurise des cookies, respectez les quelques rgles
numres suivantes :
i. Ne stockez aucune information sensible dans des cookies. Par exemple, ne
stockez jamais un mot de passe dans un cookie, mme de faon temporaire.
En rgle gnrale, ne stockez pas d'informations sensibles dans un cookie.
Conservez plutt une rfrence, dans le cookie, l'emplacement des
informations sur le serveur.
ii. Dfinissez des dlais d'expiration les plus courts possible pour les cookies.
Dans la mesure du possible, vitez toujours les cookies permanents.
iii. Envisagez de chiffrer les informations contenues dans les cookies, afin
doffrir une double couche de scurit vos cookies.
iv. Envisagez d'affecter true aux proprits Secure et HttpOnly sur vos cookies.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 111


9. Configuration du modem

Les connexions distance doivent tre correctement effectues et astucieusement


cryptes. Les hackers effectuent des scans des modems. Paramtrez votre modem
afin quil rponde la cinquime sonnerie.

10. Configuration du fax, du routeur

Le matriel de ce genre est livr avec un mot de passe par dfaut ou mot de passe
constructeur. La premire configuration raliser une fois lappareil install, est de
changer le mot de passe fourni par le fabricant en le remplaant par un mot de passe
complexe, sappuyant sur les techniques de cration de mot de passe robuste. Cette
manipulation empchera les hackers de profiter de ces failles des plus videntes,
mais trs souvent laisses par les administrateurs rseaux par ignorance ou
ngligence.

11. Destruction des informations sensibles ou du matriel


contenant des informations sensibles

Les informations sensibles devront tre dtruites une fois que lon considrera
quelles sont devenues inutiles ou obsoltes ou que leur utilisation par dautres
personnes peut savrer dangereuse. Les supports physiques seront dmagntiss
puis dtruits par la suite. Il faut tout de mme tre trs mticuleux dans les
processus de destruction des informations sensibles ou de matriel, car dans certains
cas, lorsque vous croyez avoir dtruit vos donnes, ces dernires restent dans la
Base de registre. En effet, les donnes de votre disque dur peuvent toujours tre
rcupres selon certaines mthodes, mme quand votre disque dur est brl. Des
exemples palpables sont disponibles sur le site www.ontrack.fr .

C oncevoir la s cur it informatiq ue en entr ep ris e Page 112


12. Protection des corbeilles papier et des poubelles

Les poubelles papier de la majorit des entreprises regorgent dinnombrables


informations qui peuvent tre subtilises par un attaquant. Une personne mal
attentionne peut trouver en fouillant dans les poubelles, de nombreuses
dinformations de niveau de criticit variable, allant du petit mot entre collgues, au
post-it du DAF, jusqu au prcieux mot de passe, etc.
Dans de nombreux cas, les hackers ont fouill les poubelles dentreprises, avant
dobtenir des informations stratgiques quils ont par la suite utilises leurs fins
malveillantes. Vous pourrez utiliser les destructeurs de papier de faon systmatique
et garder prcieusement les corbeilles papier labri du personnel et du public en
gnral.

13. Les donnes papier

Les donnes papier doivent se trouver dans des endroits verrouills et surveills par
vido pour viter quun fouineur malveillant ou indiscret ne puisse accder la
documentation confidentielle de lentreprise.

14. Utilisation de systmes biomtriques dans des endroits


sensibles

Si lentreprise conserve des informations sensibles, dont la fuite pourrait


compromettre lavenir de la socit, comme la diffusion de secrets commerciaux, de
codes source ou de recherches sur de futurs projets avant dpt dun brevet, il est
indispensable de dvelopper un systme de scurit biomtrique. On dispose de
trois types didentification :
i. empreintes digitales ou rtiniennes ;
ii. Reconnaissance faciale ;
iii. Prsentation dun badge infalsifiable.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 113


Certains services de scurit biomtriques ont dj t lobjet de fraude, do la
ncessit de combiner tous ces types didentification ou du moins deux dentres
elles, afin de minimiser les risques dabus. Bien sr ceci peut coter trs cher, mais
il faut valuer la criticit des informations que lon souhaite protger et faire des
investissements en consquence.

15. Configuration dun rseau sans fil

De nos jours, les connections stablissent sans fil et le Wi-Fi remplace le cble.
Dans ce cas, il est fortement recommand dinstaller un niveau de cryptage lev,
impliquant lutilisation doutils de cryptage de haut niveau, une configuration
optimale des matriels de routage. Seul le responsable de la scurit informatique
ou ladministrateur rseau doit connatre ce cryptage. Vous pouvez par exemple :
i. Changer le mot de passe utilisateur de votre routeur Wifi
ii. Changer et cacher le nom de votre rseau (SSID) la vue des utilisateurs
malintentionns
iii. Dsactiver la diffusion du nom SSID de votre rseau
iv. Activer le cryptage de votre rseau, en utilisant de prfrence une clef de
scurit de type WPA(Wifi Protect Access)
v. Activer un couplage adresse MAC-adresse IP des ordinateurs qui accdent
votre rseau

16. Configuration dun moniteur rseau

Il est impratif que le moniteur rseau, outil de surveillance, soit configur pour se
dclencher rgulirement afin de surveiller les entres et sorties dadresses IP, afin
de localiser ladresse IP dun ventuel intrus essayant dutiliser la force brute pour
pntrer dans votre systme. Il existe galement des moniteurs rseau pour les
installations sans fil.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 114


17. Installation dun pare-feu interne et externe

Le systme dinformations dune entreprise doit tre protg derrire un pare-feu


externe et disposer de pare-feu internes pour les postes grant des informations
particulirement sensibles.

18. Les rseaux DMZ (DeMilitarized Zones)

La DMZ (Demilitarized Zone) est un environnement de sous-rseau qui est


positionn entre un rseau interne de confiance et un rseau externe non scuris. Il
sagit en quelques sortes dune zone franche de transition entre deux
environnements de rseau. En outre, les DMZ constituent la forme la plus courante
dimplmentation de pare-feux. Dans le cas dun tel rseau, deux pare-feux au
moins sont necessaires. Par exemple, le serveur VPN est combin avec le pare-feu
principal, tandis que les autres serveurs accessibles de lextrieur sont positionns
aussi sur la DMZ externe.
Les rseaux DMZ sont ainsi utiliss comme relais de protection pour les serveurs et
ressources qui ncessitent dtre accessibles de lintrieur ou de lextrieur mais qui
ne doivent pas tre positionns dans des rseaux protgs internes. Les serveurs
installs dans la partie externe de la DMZ permettent de fournir des services au
rseau externe, tout en protgeant le rseau interne contre des intrusions possibles.

19. Rseaux privs virtuels dentreprise ou Virtual Private


Networks (VPN)

La connexion distance sur un rseau interne dune PME impose dutiliser un


rseau priv virtuel dentreprise ou VPN. Lutilisation dun tel rseau virtuel permet
de chiffrer le trafic rseau sensible et requiert une authentification forte, offrant
ainsi un accs distance scuris.
En somme, le VPN garantit les trois exigences fondamentales de la scurit
informatique, savoir :

C oncevoir la s cur it informatiq ue en entr ep ris e Page 115


- Intgrit : les donnes reues par le site principal sont identiques celles
envoyes par le site externe ou le poste nomade,
- Confidentialit : la proprit prive des donnes est compltement assure,
- Authentification : le rcepteur des donnes sur le site de lentreprise doit tre
sr que les donnes ont bien t mises par le bon utilisateur. Mise en uvre
de liaisons scurises.

Prcautions dutilisation de la fonctionnalit du VPN et les bonnes pratiques

- Le primtre de scurit de lentreprise est tendu avec des environnements


(sites ou entreprises) distants qui devront avoir au moins le mme niveau ou
les mmes rgles de scurit que le site principal. Le serveur VPN devra tre
paramtr pour traiter le chiffrement du trafic. Il pourra exister aussi des
problmes dadressage et des conflits dadresses possibles, si les deux sites
utilisent des parties du mme espace dadressage.
- Avant dimplmenter un rseau virtuel dentreprise de type VPN, les
administrateurs du systme doivent valuer la compatibilit avec le rseau
existant. Les directives de scurit gnrales proposent les conseils suivants
destination des entreprises utilisant cette fonctionnalit :
- Le principe dauthentification doit utiliser soit un systme de mot de passe
comme un dispositif jeton ou un couple de cl publique/prive avec un
systme identification/mot de passe complexe.
- La dconnexion automatique du rseau dentreprise doit se produire aprs
une priode dinactivit ( dfinir). Cette protection impose lutilisateur de
se reconnecter lchance de cette priode.
- Limiter le temps de connexion au VPN, pour viter dtre surveiller.
- Ne pas permettre une double connexion partir du mme poste nomade.
- Avoir un inventaire de tous les postes externes au site susceptibles de se
connecter au site central via le VPN.
- Tous ces quipements doivent tre configurs pour tre conformes la
politique de la scurit de lentreprise, contrls frquemment. Ils doivent

C oncevoir la s cur it informatiq ue en entr ep ris e Page 116


tre protgs imprativement contre des logiciels malveillants (antivirus)
avec les signatures les plus rcentes.
- Les personnels ayant les possibilits et les privilges de connexion VPN
doivent vrifier que leur compte nest pas utilis par des utilisateurs non
autoriss.
- Linstallation et la maintenance de pare-feu personnels (matriel ou logiciel)
du ct utilisateur doivent tre requises.

Top 10 des meilleurs logiciels de VPN :

1. CyberGhost : Un trafic illimit dans sa version gratuite, mais avec une bande
passante faible. Disponible en Franais.

2. Security Kiss : Un des VPN les plus populaires. Pour un accs des serveurs plus
rapides, il existe plusieurs offres payantes mais raisonnables. Disponible en Franais.

3. Freedom IP : Un VPN totalement gratuit et communautaire. Disponible en Franais.

4. Arethusa : Organisation but non lucratif. Surf web uniquement possible.

5. proXPN : Vitesse limite 100KB/s.

6. VPNBOOK : 100% gratuit, mais en anglais.

7. PD-Proxy : Une version premium dbride cette version gratuite.

8. Private Tunnel : Limit 100 Mo.

9. LogMeIn : Gratuit pour les usages non-commerciaux.

10. the Free VPN : Aucune restriction, mais page publicitaire qui s'ouvre sur chaque
page.

20. Les privilges des utilisateurs

Les privilges sont accords au cas par cas et dpendent de nombreux facteurs.
Aussi, la demande daccs du niveau hirarchique doit tre la plus prcise possible,
afin dindiquer ladministrateur les accs donner ou interdire, les lecteurs ou
dossiers auxquels le salari devra avoir accs en fonction des tches qui lui
incombent.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 117


21. Formation des employs

Ds leur arrive dans lentreprise, les employs (salaris, intrimaires, stagiaires)


doivent prendre connaissance des rgles et procdures qui rgissent lentreprise et
les suivre la lettre. Cela vitera de les transformer en proies faciles pour un
manipulateur susceptible de se faire passer pour un suprieur hirarchique, afin
dobtenir des informations sensibles (ingnierie sociale).
Dautre part, le personnel susceptible de travailler distance doit tre form en
matire de cryptage (cryptage des courriers lectroniques, cryptage des en-ttes, des
fichiers, des dossiers, envoi de fax de faon crypte, etc.).
Les salaris qui utilisent nimporte quel quipement informatique doivent signer
une clause de confidentialit, les soumettant au secret professionnel.
Le rglement concernant linformatique y est spcifi et stipule quil est interdit de
rvler le type dquipement sur lequel le salari travaille, de rvler son mot de
passe ou les programmes excuts (sans autorisation de son suprieur hirarchique),
les extensions des lignes internes, etc. Lutilisation des conomiseurs dcran,
antivirus, anti-troyens, pare-feu, disquettes, cls USB ou de nimporte quel systme
de stockage de donnes amovible doit tre vrifie avant lexcution de son
contenu. Lexcs de confiance est viter, surtout avec le personnel de passage
dans lentreprise.

22. Le personnel et les appels tlphoniques

Avant quune personne ne soit prte recevoir des appels provenant de lextrieur,
avant quelle ne soit en relation directe avec les clients, elle doit tre informe
quelle ne doit aucun moment divulguer de donnes personnelles, quelles quelles
soient, ni les rgles et procdures internes, ni le numro de lextension des lignes
tlphoniques, ni bien sr aucun mot de passe.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 118


23. La ligne tlphonique

Les numros de lignes directes ne doivent pas tre communiqus, ni les adresses
email du personnel interne. Il doit exister un numro dappel unique, puis les appels
sont transmis aux intresss.
Pareil pour les e-mails : dabord une adresse gnrale est communique, puis la
transmission des emails aux intresss est effectue par un personnel bien form
aux stratgies de scurit.

24. Serveur tlphonique

Protger votre serveur tlphonique derrire un pare-feu trs puissant. De plus, tous
les mots de passe du fabricant doivent tre changs au moment de sa mise en
service.

25. Les lignes tlphoniques avec diffrentes sonneries

Cette mthode permet de savoir sil sagit dun appel interne ou externe. Les
tlphones publics de lentreprise doivent galement tre identifiables.

26. Le traage dappel

Votre fournisseur daccs tlphonique peut vous permettre de suivre la trace des
appels mis et reus, afin de pouvoir identifier les appels suspects et de crer un
groupe spcifique grant les donnes de ce genre dincidents.

27. Politique de recrutement

Faire attention ceux quon embauche ou avec qui lon traite en effectuant une
enqute pousse pour les prposs des postes sensibles de scurit. Il est de

C oncevoir la s cur it informatiq ue en entr ep ris e Page 119


coutume pour de nombreuses entreprises denvoyer des taupes en mission
dinfiltration dans les entreprises concurrentes. En effet, la concurrence se faisant
grande, lexpertise rare, les entreprises ont tendance courir parfois aveuglment
derrire les perles rares de lindustrie de la scurit.

28. Maintenance de site web

Plusieurs entreprises laissent leurs sites en ligne lorsquils sont en dveloppement.


Si le niveau de scurit est faible, le pirate pourra trouver un exploit pour profiter
des vulnrabilits des pages web. Les sites en cours de dveloppement ne doivent
pas avoir de liaisons avec le rseau, afin dviter des attaques de lextrieur ou de
lintrieur. En Cte dIvoire, le CI-CERT travers son systme de surveillance de
site web (SysWeb) est un partenaire de premier choix, en la matire.

29. Configuration de serveur SQL

Ne pas installer le serveur SQL sur le serveur IIS, car les pirates peuvent utiliser des
failles pour envoyer des commandes par le biais du Web. Si vous travaillez avec un
serveur SQL, il convient dliminer les utilitaires inutiles et utiliser des mots de
passe autres que les mots de passe par dfaut, afin dviter quun pirate ne
sintroduise dans votre systme distance au moyen de linvite de commandes,
xp_cmdshel"l par exemple.
Dsactiver le protocole ICMP, et/ou utiliser des dtecteurs dintrus de marques trs
connues.

30. Ports de serveurs

Dsactiver les ports inutiliss dans le commutateur et sassurer que les autres soit
suffisamment scuriss afin de pouvoir empcher des attaques dempoisonnement
ARP, dinondation dadresses MAC ou les usurpations dadresses.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 120


Installer des dtecteurs dintrus IPS dans le rseau afin dtre averti quune attaque
tente dtre mene. On peut galement utiliser les sniffers qui capturent les donnes
du rseau.

31. Patches et mises jour

Sinformer rgulirement sur les nouvelles actions correctives disponibles relatives


aux patches, en mettant un accent particulier sur la veille technologique en matire
de scurit informatique. Il faut galement sassurer de la disponibilit de mises
jour rgulires, avant dadopter un logiciel cens abriter ou protger des donnes
sensibles pour son entreprise. Dans la majorit des cas, les constructeurs de logiciels
propritaires, assurent un suivi mticuleux de la scurit des produits quils
commercialisent, travers la diffusion rgulire de mises jour de scurit. De
lautre cot, les communauts de logiciels libres sont galement une force vive pour
les adeptes du libre.

32. Restriction dutilisation du matriel informatique


professionnel

Mettre des restrictions en place afin que les utilisateurs ne puissent pas installer
des excutables tlchargs sur Internet. Ces mesures permettent de limiter les
risques dinstallations de logiciels malveillants sur le rseau de lentreprise.
Mais avec le dveloppement du BYOD (Bring your Own Device), la tche se
complexifie un peu plus. En effet, il faut arriver concilier les intrts des employs
et ceux de lemployeur en mettent en place des mcanismes adapts la culture, aux
objectifs et moyens de lentreprise.
Garder les informations sensibles, par exemple la configuration du DNS ou les listes
de partenaires commerciaux prives et scrtes et ne jamais les publier sur une page
publique.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 121


Quelques rgles de protection des appareils personnels dans le cas dun
BYOD :
i. Appliquer les mots de passe robustes sur les priphriques personnels
(soumettre les quipements personnels aux mmes rgles que lensemble du
matriel informatique, tel que dfinit dans la PSSI)
ii. Chiffrer intgralement les disques durs, les priphriques amovibles et les
donnes stockes dans le Cloud
iii. Activer un systme de gestion des priphriques, afin de supprimer les
donnes contenues sur les priphriques perdus ou vols
iv. Contrler les applications installes
v. Utiliser un tunnel VPN chiffr et une authentification deux facteurs pour
les applications critiques de lentreprise

33. Gestion des intrusions

Crer des filtres pour interdire les adresses IP et sites suspects, mettant un nombre
de requtes suprieur la normale (tenant compte des activits et du niveau de
privilge de lutilisateur). Ce type doutil, pouvant tre associ dautres outils de
gestion des vulnrabilits, permet de scanner chaque serveur en le testant partir
dun catalogue dvnements. Lun des plus connus sappelle Nessus. Cest un outil
gratuit de recherche de vulnrabilits pour les rseaux, disponible ladresse :
www.nessus.org .
Par prcaution, les administrateurs du rseau doivent tre avertis que cet outil, sil
est configur efficacement, peut gnrer des journaux dvnements volumineux
qui doivent tre analyss attentivement. Il est donc recommand de positionner
lIDS dans tout endroit o le trafic rseau venant de lextrieur est utilis avec des
VPNs. Il existe des outils plus performants qui bnficient gnralement dune mise
jour continue de la base de donnes des attaques : celle-ci regroupe toutes les
signatures des attaques rfrences. Deux "mthodes" sont utilises selon les outils :
une surveillance du systme et un signalement de toute action suspecte, ou la
comparaison de toutes les requtes au signalement des attaques les plus connues.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 122


34. Gestion des protocoles de communication

Rduire la bande passante et limiter le dbit de trafic pour certains protocoles de


communication (cration des piles personnalises).

35. Utilisation de honey pot

Crer des pages fictives afin denvoyer les connexions suspectes dans un trou noir.
Crer des honey pot ou pots de miel permet dattirer les pirates vers de
fausses cibles rendues volontairement vulnrables, afin dtudier les techniques
dattaques, identifier et pister les attaquants.
Les sites web doivent constamment effectuer des sauvegardes et changer les mots
de passe des gens qui se connectent frquemment. Ladministrateur devra donner
aux partenaires ou aux utilisateurs qui travaillent distance des mots de passe
temporaires que chaque utilisateur modifiera trs rgulirement.

36. Adresses e-mails viter

Cette prcaution concerne plus les risques de spamming que de hacking. En effet,
les adresses e-mails qui ont les prfixes les plus courants sont les plus faciles
spammes automatiquement grce des outils gratuits disponibles sur le net (car ils
ont plus de chances d'exister). Il serait judicieux dviter de crer des adresses avec
les noms suivants: webmaster@, admin@ contact@, email@, mail@, info@,
sales@, support@, root@, www@, abuse@ news@,etc.
Une autre technique trs astucieuse consiste crer des images sous un format
reconnu (jpeg, jpg, etc.), qui contiendra lensemble des informations de contacts de
lentreprise. Cette technique permet dviter lindexation par les robots des moteurs
de recherche et autre logiciels de rcupration dadresse lectronique sur Internet.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 123


37. Cryptage de votre adresse e-mail

Lorsque vous affichez une adresse e-mail sur votre site web, vous avez 2 solutions:
1) Crez un fichier image (gif, png, jpeg) avec votre adresse crite dessus. Ce
n'est pas du texte et les robots spammeurs ne le verront pas. Ils ne pourront
donc pas vous envoyer automatiquement du spam
2) Utilisez des solutions de cryptage de vos e-mails (PGP par exemple)
3) Cryptez votre adresse e-mail avec du JavaScript. De nombreux sites comme
celui-ci : www.aspirine.org, proposent des services en ligne de ce genre.
Pour les entreprises dotes de plus de moyens, dautres mthodes
encore plus pousses existent pour faire crypter les e-mails

C oncevoir la s cur it informatiq ue en entr ep ris e Page 124


CONCLUSION
La scurit informatique, comme nous lavons examin, relve de la conjugaison de
plusieurs efforts tant juridiques, technologiques que managriaux. Le systme
dinformation est de nos jours, au cur de toutes les entreprises modernes. Les
nombreux avantages et les opportunits immenses quoffre le rseau des rseaux,
font dInternet un enjeu conomique capital. Les nombreux modles dentreprises
dveloppes en utilisant la puissance dInternet (Dell, Facebook, etc.), montrent
quel point les systmes dInformations ont acquis une place de premier choix dans
la vie et le dveloppement des entreprises. La scurit par dfinition, est une
rponse un tat dinscurit, permettant dinstaller la confiance. Si de nombreuses
entreprises et organisations ont consentis des efforts normes dans la course vers les
technologies pour assurer la scurit de leurs SI, force est de constater que les
rponses proposes restent bien souvent inoprantes ou insatisfaisantes. En effet, les
technologies de linformation et de la communication sont trs volutives et la
criminalit informatique suit cette dynamique.
Faire reposer la scurit sur les seuls armes technico-technologiques , est donc
similaire traiter les symptmes du mal, sans en atteindre la racine. Cette dmarche
sinscrit invitablement dans le court terme, en proposant des solutions
superficielles amenes tre dpasses, en mme temps que les technologies.
La criminologie prsente la criminalit comme le rsultat dune conjugaison de
facteurs multiples, quil convient de danalyser au cas par cas. Dun point de vue
criminologique, le crime et tous les actes de dviance doivent tre analyss comme
des composantes fondamentales de la socit. Selon E. Durkheim : [] le crime
est un fait normal . Le crime est normal, parce qu'une socit qui en serait exempte
est tout fait impossible ; telle est la premire vidence paradoxale que fait surgir
la rflexion sociologique. Ceci dit, la conception de la scurit informatique
infaillible et base sur des mesures technologiques de pointe relve de lutopie.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 125


En somme, il apparait plus que ncessaire pour les entreprises, de concevoir la
scurit informatique selon une approche globale et multidimensionnelle. En effet,
faire de la scurit informatique ne relve pas exclusivement de la comptence des
ingnieurs et techniciens informatiques. En plus de ladoption doutils
technologiques, il est plus que jamais ncessaire dintgrer :
Les aspects organisationnels (cration de directions, dpartements, service et
organe de scurit des systmes dinformation, de management des risques)
Les aspects de management (dveloppement dune culture de scurit,
gestion des ressources humaines, formation et sensibilisation)
Les aspects juridiques (prise en compte de la gestion des risques
informatique, dans la rdaction des contrats, rglements intrieurs, charte,
etc.)
La prise en compte de la relative "fragilit" de ltre humain (stress au
travail, erreurs, sant physique et motionnelle, traitement social et salarial,
etc.)
De plus, les utilisateurs des technologies devront intgrer le fait que les
technologies, aussi avances soient-elles, demeurent des uvres humaines, donc
imparfaites. Car cest l, la vritable cl du problme. En adoptant une position de
rserve lgard des TIC, lHomme se remet au cur du processus de
dveloppement, afin que lhumain demeure le matre de la machine .
Si les pays dits dvelopps consacrent des parts de budgets colossales la recherche
scientifique en gnrale et aux TIC en particulier, cest dire limportance de cette
discipline dans le dveloppement des nations.
A lheure o le monde sachemine rsolument vers les autoroutes de linformation
travers lapparition de IP-v6, il apparait plus que ncessaire pour nos Etats et jeunes
entreprises Africaines de se doter dinfrastructures, ressources technologiques et de
connaissances, afin de participer pleinement au dveloppement de la socit
numrique mondiale. Car sil est vrai que lAfrique, comme dans bien des domaines
est un super-consommateur des produits provenant du Nord, nul ne saurait nier le
potentiel norme dont elle regorge et le rle prpondrant quelle pourrait jouer
dans la socit du numrique.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 126


Les plus grands experts en scurit informatique, conviennent quaucune rgle ou
mesure de scurit informatique nest infaillible, do lintgration de la notion de
dfense en profondeur dans la conception de la scurit informatique. La scurit
informatique mrite dtre apprhende dans son entiret, afin de dfinir des
stratgies efficaces et adaptes aux objectifs de lentreprise et mme des
gouvernements, car de plus en plus lEtat apparait comme un actionnaire des
entreprises du priv.
Loin de se rsumer une course effrne aux outils technologiques, la scurit
devrait plutt tre perue comme un vritable concept stratgique, dcoulant dune
culture intgre au sein de lentreprise et mme hors de celle-ci. En effet, la
dmarche scurit est un projet dentreprise dont la ralisation engage chaque
membre de lentreprise en tant quacteur principal. La scurit est dornavant
apprhende et traite comme un processus continu.
Par ailleurs, intgrer la scurit en tant que processus met en lumire la
dimension managriale et stratgique de la scurit informatique. Lobjectif cl de
cette dmarche tant doptimiser et rationnaliser des investissements, tout en
assurant la prennit et lefficacit des solutions de scurit dans le temps.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 127


THESAURUS DE LA
SECURITE INFORMATIQUE

C oncevoir la s cur it informatiq ue en entr ep ris e Page 128


A
Adware (publiciel): ainsi le confort de navigation sur
Advertising-supported software Internet de lutilisateur.
ou publiciel
APT (Advanced Persistent
Logiciel gnralement gratuit qui Threats):
diffuse automatiquement de la
publicit sur votre ordinateur, lorsque Les APT ou Attaques persistantes
vous lutilisez. Les publiciels ne sont avances sont des attaques de type trs
pas ncessairement nuisibles, car ils cibl et persistante. Dans ce genre
peuvent aider au dveloppement de dattaque, le pirate sinscrit dans la
programmes gratuits travers les dure en se maintenant de faon trs
fonds rcolts par la publicit subtile durant de longs moments dans
diffuse. Mais ils peuvent galement le systme, afin de collecter des
savrer nocifs et drangeant, par donnes sensibles. Ces attaques sont
exemple quand il s diffusent de la souvent le fruit dune attaque longue
publicit intempestive et drangent et minutieuse contre une cible
spcifiquement choisie.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 129


Autorun worm (Vers autorun): Une fois le priphrique infect est
connect sur lordinateur, le
Logiciels malveillants qui sexcutent programme malveillant sexcute
automatiquement en utilisant la automatiquement.
proprit autorun de Windows.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 130


B
Backdoor Boot sector malware
(Logiciel malveillant affectant le

Logiciel malveillant qui permet de secteur de dmarrage)

prendre le contrle de la machine dun


utilisateur via Internet, sans aucune Logiciel malveillant modifie le boot

permission. Cest une sorte de sector ou secteur de dmarrage,

programme qui cre linsu du portion de disque utilise par le

propritaire de lordinateur un accs systme dexploitation pour dmarrer.

totale son systme. Une fois le Il modifie le secteur lgitime et

backdoor install, il sincorpore dans ordonne au systme dexploitation de

le fonctionnement normal de dmarrer partir dun secteur infect

lordinateur et est toujours exploitable contenue dans le programme

mme aprs le redmarrage de malveillant. Une fois que lordinateur

lordinateur. Lattaquant qui installe redmarre, le programme malveillant

un backdoor sur la machine dune est lanc et sexcute donc sur

victime dispose ainsi dun accs large lordinateur.

lensemble des activits qui y sont


menes.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 131


BOTNET gravit peut varier et avoir un impact
plus ou moins sur lintgrit et le
Rseau dordinateurs contrls fonctionnement du logiciel ou du
distance par un pirate informatique. matriel informatique.
Lensemble des machines constituant
le rseau sont contrl linsu de Browser hijacker:
leurs propritaires en utilisant ou dtourneur de navigateur
diffrentes techniques de hacking. Les
rseaux de botnet sont Logiciel malveillant qui modifie sans
particulirement dangereux, car leur votre consentement les rglages de
degr de nuisance peut tre votre navigateur web. Il est capable de
extrmement grand, plus le nombre de changer la page daccueil, la barre de
machines contrls (zombies) est recherche, etc. Cette attaque peut tre
grand. Le pirate contrlant le rseau utilise par un pirate pour booster les
appel le botmaster, peut lancer des revenus gnrs par un site web, en
attaques massives en utilisant ces modifiant le comportement de votre
machines contrles, afin de masquer navigateur.
la vritable origine de lattaque. Pour
lentreprise les risques sont normes, Brute force :
dans le cas des machines du parc ou attaque par force brute
informatique dune entreprise sont
impliqus dans une attaque Technique qui consiste utiliser un
informatique contre un systme trs grand nombre de mots de passe,
dinformations. afin de gagner un accs non autoris
un systme dinformation ou un
Bug ou bogue: compte protg par mot de passe.
Lattaquant utilise des programmes
Dysfonctionnement d'un programme informatiques, qui laide dun
ou d'un matriel survenant suite une algorithme spcialement conu, vont
erreur involontaire de programmation tenter un nombre trs grand de
(conception) ou de construction. La

C oncevoir la s cur it informatiq ue en entr ep ris e Page 132


combinaisons, afin de trouver un mot donnes plus grand que celui auquel il
de passe. sattendait. Le programme se voit
contraint de traiter un volume de
Buffer overflow : donne plus grand, que lespace
mmoire prvue ces fins et efface
Un buffer overflow se produit donc les espace mmoire utiliss par
lorsqu'un programme stocke les le systme dexploitation.
donnes excdentaires en crasant les
autres parties de la mmoire de
l'ordinateur, provoquant des erreurs ou
des plantages du systme. Les
attaques de type buffer overflow
exploitent une vulnrabilit dun
logiciel, en lui envoyant un volume de

C
Captcha Captcha est gnre avec des images
de manire alatoire, qui contient des
Forme de test dauthentification utilis codes saisir lidentique dans une
pour dterminer si un programme ou boite de dialogue. Une machine ne
un service en ligne vient d'une nature peut pas dcoder des lettres et des
humaine ou de l'utilisation d'une chiffres intentionnellement dforms.
machine. La principale forme de Cela permet de s'assurer que (par

C oncevoir la s cur it informatiq ue en entr ep ris e Page 133


exemple) un programme ne peut pas Crack
tre dsactiv par un autre programme
ou par Bot. Outil de Hacking utilis pour dcoder
des mots de passe encrypts. Les
Cheval de Troie administrateurs utilisent aussi Crack
ou Trojan Horse pour valuer la faiblesse des mots de
passe des utilisateurs inexpriments
Logiciel dapparence inoffensive mais dans le but d'augmenter la scurit du
qui cache sous sa face apparent un systme.
programme malveillant, qui une fois
entr dans le systme libre sa charge Cookies :
nocive (logiciel malveillant). Le ou tmoins de connexion
cheval de Troie se prsente comme un Fichiers qui sont placs sur votre
programme ne ralisant quune simple ordinateur, afin de permettre aux sites
action inoffensive, mais contient web que vous consultez de se souvenir
dautres fonctions malicieuses caches de certains dtails de navigation. Ils
qui sactivent une fois le logiciel sont trs utiles, afin daccrotre les
install sur lordinateur de la victime. performances des sites web et assurer
De nombreux programmes gratuits un confort de navigation aux
contiennent des chevaux de Troie de utilisateurs.
nos jours.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 134


D
DoS (Denial of Service): DNS Hijacking
(Dtournement de DNS):
Attaque informatique dont le but est
de submerger de requtes une Attaque qui consiste dtourner, afin
priphrique (serveur, logiciel, etc.), dutiliser sans le consentement du
afin de rendre inaccessible des propritaire un DNS. Un DNS ou
services aux utilisateurs. Les sites web (Domain Name server) est un
sont les plus viss par ce type dispositif qui permet lordinateur de
dattaque au cours des lesquelles transcrire les noms de sites web ou de
aucune donne nest vole, mais blogs (ex :
lobjectifs est de rendre les services www.cybercrimactu.wordpress.com )
inaccessibles. Le DDOS ou en adresses IP, afin que les machines
Distributed denial of service est une puissent communiquer entre elles.
variation de lattaque DoS, dans Cette attaque peut permettre de
laquelle les attaques sont envoyes modifier les paramtres dun
partir de plusieurs machines ordinateur afin quil ignore un DNS
contrles linsu de leurs lgitime et quil reconnaisse comme
propritaires (botnet, zombie) par le lgitime un DNS contrl par un
pirate. pirate malveillant. Ainsi le pirate peut
rediriger les informations quun
utilisateur souhaite envoyer un
serveur lgitime vers son propre

C oncevoir la s cur it informatiq ue en entr ep ris e Page 135


serveur, afin de rcuprer les pages dun site web lgitime et
informations sensibles telles que mot gnralement trs visit. Une fois que
de passe, login, numro de carte lutilisateur se connecte se site web
bancaire, etc. compromis, le code malveillant
exploitent des vulnrabilits
Drive by download: prsentent dans le navigateur web et
sinstalle sur la machine de sa victime.
Attaque qui consiste compromettre Ainsi, le pirate peut prendre le
un site web lgitime avec un malware, contrle de la machine et commettre
afin dinfecter les ordinateurs des de nombreuses infractions (vol et
utilisateurs qui viendront se connecter modification de donnes, botnet, etc.).
au site web compromis. Les pirates
injectent du code malveillant dans les

E
Exploit : logiciel ou dun code malveillant qui
est utilis pour exploiter la faille de
Dans le langage de la scurit scurit dtecte. Lexploit na de
informatique, un exploit dsigne le valeur que tant que la vulnrabilit
moyen utilis pour tirer profit dune pour laquelle il est conu nest pas
vulnrabilit. Il peut sagir dun corrige.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 136


H
Hacker ou (fouineur) peuvent virer au black hat hacking,
la faveur de circonstances diverses
Personne dote de comptence en (idologiques, politiques, etc.)
programmation et aimant explorer les
dtails du fonctionnement des Hacking :
systmes informatiques. La finalit de Art pratiqu par le hacker
cette qute de comprhension du
fonctionnement des systmes Hacktivisme :
informatiques dfinit, la qualification
du hacker. Ainsi il existe des bons Forme dutilisation du hacking des
hackers (White hat hackers qui sont fins purement idologiques
des professionnels de scurit, (politiques, religieuses, etc.). Les
gnralement employs dans des hacktivistes sattaquent des
organismes officiels pour assurer la organisations, corporations, entits
scurit des SI), des mauvais hackers dont lactivit est antagoniste la leur.
(Black hat hackers qui utilisent leur
connaissances dans le but de Hoax (canular)
commettre des activits illicites : vols
de donnes, DoS, etc.). Il existe Fausses rumeurs vhicules sur
galement une catgorie de hackers dit Internet. De telles rumeurs peuvent
hacker gris (Grey hat hacker), ils sont conduire des utilisateurs utiliser des
gnralement des white hacker mais
types spcifiques de matriel ou HTTPS
logiciel au dtriment de dautres. Dans (Hypertext Transfert Protocol
le cas dentreprises concurrentes, cette Secure)
technique peut avoir des effets
dsastreux. Protocole de communication client-
serveur cest--dire entre les
Honeypot ressources manipules par lutilisateur
ou pot de miel (navigateur) et les ressources utilises
pour le fonctionnement des sites web
Sorte de trappe cre par des (serveurs). Le protocole de base est le
spcialistes de la scurit, afin de http et le HTTPS dsigne une version
conduire des pirates attaquer une scurise de cet protocole, en utilisant
cible dlibrment rendue vulnrable. les protocoles de scurit SSL ou
Cette technique est utilise dans le but TLS. Le protocole https est utilis
dtudier la stratgie utilise par les dans le cadre dchanges scuriss sur
attaquants, afin den maitriser les des sites web, notamment quand il
subtilits et prendre des mesures faut saisi un mot de passe, un numro
correctives. de carte de crdit, etc.

K
Keylogging : Le keylogging ou utilisateur, denregistrer toutes les
enregistrement de frappes est une frappes qui sont effectues sur le
technique qui permet linsu dun clavier dun ordinateur ou de tout

C oncevoir la s cur it informatiq ue en entr ep ris e Page 138


autre priphrique tactile. Ainsi le Les keyloggers sont des programmes
pirate peut rcuprer des informations informatiques ou priphriques
sensibles (login, mot de passe, etc.) amovibles, qui permettent de raliser
saisies par lutilisateur dun ordinateur le keylogging.
sur lequel est install un keylogger.

L
Lettre la chaine : Logic Bomb :

E-mail dont le contenu vous incite Aussi connu sous le nom de Fork
faire suivre et partager un plus grand Bomb, il sagit dun programme
nombre de personnes. Cette technique rsidant sur un systme informatique
peut tre utilise pour vhiculer des qui une fois lanc, recherche une
malware ou encore rcuprer un grand condition ou un tat particulier du
dadresse lectronique de collgues, systme pour excuter une action
proches, etc. Ex : Ptitions, messages illicite une fois cette condition
de soutien, etc. trouve. Il permet de raliser une
action prcise si une condition dfinie
par son auteur est vrifie. Ex :
teindre lordinateur si la webcam est
allume

C oncevoir la s cur it informatiq ue en entr ep ris e Page 139


M
Malware Mobile Phone Malware (en
ou logiciel malveillant utilisant le tlphone mobile
comme vecteur de propagation)
Terme gnrique utilis pour dsign Etc.
tout les programmes malveillants, tels
que Virus, Vers, Chevaux de Troie, Mail-bombing:
etc. De nombreuses variations
dutilisation des malwares existent, Consiste en lenvoi massif de
savoir : messages lectronique identique vers
E-mail Malware (en utilisant le mme destinataire leffet de
un e-mail pour vhiculer le saturer le serveur de mails, saturer la
malware) bande passante du serveur et du ou des
Document Malware (en destinataires ou de rendre impossible
camouflant le malware dans un aux destinataires de continuer
document PDF, Word, Excel, utiliser l'adresse lectronique. La trop
etc.) grande quantit de e-mail envoy
simultanment rends inutilisable les
services de messagerie.
P
Patches Phishing

Les patches sont des programmes Le phishing est une technique


informatiques qui sont utiliss pour darnaque qui consiste rcolter
corriger des failles ou vulnrabilits illicitement des donnes sensibles
dcouvertes dans un logiciel (mot de passe, login, numro de carte
informatique. Ces correctifs sont de crdit, etc.) de personnes tierces, en
gnralement cres suite la utilisant la tromperie. Lattaquant
dcouverte dune faille ou bug dans le procde en envoyant de faux liens
affectant le fonctionnement ou la cliquables ou un formulaire remplir,
scurit dun logiciel informatique. en usurpant lidentit dun requrant
Les patches sont des applicatifs de lgitime et reconnu (banque, yahoo,
scurit qui viennent combler des facebook, etc.). Dans la majorit des
insuffisances de scurit qui se cas, il sagit dun e-mail envoy au
rvlent lusure dun logiciel (OS, nom dorganisme reconnu, vous
antivirus, etc.).Tous les grands incitant communiquer des donnes
fabricants de solutions informatiques sensibles via un formulaire ou via un
proposent des patches pour leurs lien qui vous redirige sur un faux site
diffrents logiciels. copie presque conforme au site
original.
Pour en savoir plus sur le phishing
Phreaking qu'il est toujours en ligne.
Ensuite ils n'ont qu' effectuer
Forme de hacking qui consiste un Out-Dial qui permet
pirater le rseau tlphonique, afin d'appeler a l'extrieur et ils
den tirer un avantage quelconque. Il tlphonent o ils veulent
sagit dans la plupart des cas de gratuitement.
russir tlphoner gratuitement, en Les Box: Il s'agit de trafiquer
utilisant des techniques diverses telles des branchages lectriques de
que : son tlphone pour obtenir des
Le Blue-Boxing : Les phreakers fonctions qui vous facilitent la
tlphonent a des numros tche. La plus clbre des
verts gratuits, qui ils envoient boxes est la Black Box : elle
un son de 2600 MHz permet celui qui vous appelle
(quivalent au signal qui de ne pas payer les
indique quun appel est communications. Il existe
termin) grce a des logiciels. plusieurs types de boxes (beige,
Ce son envoy fait croire au gold, etc.).
central du numro que Etc.
l'utilisateur a raccroch, alors

C oncevoir la s cur it informatiq ue en entr ep ris e Page 142


R
Ransomware ordinateur et exige le paiement dune
ou ranongiciel ranon afin de le librer.

Programme malveillant qui une fois


install sur votre ordinateur ou sur Rootkit
votre Smartphone, vous empche
davoir accs vos fichiers et autres Portion dun programme informatique
fonctionnalits de votre systme qui cache son activit et les processus
dexploitation. Ces programmes quil excute sur un ordinateur, afin de
exigent le paiement des ranons leur rester totalement indtectable. Ce
propritaires via paiement genre de programme malveillant est
lectronique, afin de dbloquer laccs utilis pour cacher les activits
aux fichiers ou autres fonctionnalits malveillantes menes par lattaquant.
de votre OS, do le nom de Un rootkit peut cacher des keyloggers
ranongiciel. De faon image, il sgit ou des renifleurs de mots de passe,
dun logiciel qui prend en otage votre installs sur un ordinateur.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 143


S
Social engineering paquets de donnes. Il peut sagir de
ou ingnierie sociale mots de passe, login, numros de
carte de crdit, courriers
Technique darnaque qui consiste lectroniques, etc. Lorsque les
emmener la victime raliser des informations changes entre les
actions que lon lui intime de faire, en diffrents segments du rseau
usant de persuasion, daudace, de (utilisateurs) ne sont cryptes, un
manipulation, etc. Cette technique est attaquant peut aisment intercepter
gnralement utilise pour obtenir des et reconstituer les paquets afin de
renseignements sensibles, qui une fois lire en clair les informations
rcuprs sont utiliss des fins changes.
malveillantes par lattaquant. 97
Spoofing

ou mimicking ou usurpation
Sniffer
Action malveillante qui consiste
Outil matriel ou logiciel dont lobjet utiliser dlibrment et sans
est de capturer les trames transitant autorisation de son propritaire une
sur le rseau. Ce genre de dispositif ressource informatique en lieu et place
est utilis afin de dintercepter les de la sienne. Cest le fait pour
informations sensibles qui circulent lattaquant dusurper lidentit
dans le rseau, sous formes de dun systme informatique, afin de se

C oncevoir la s cur it informatiq ue en entr ep ris e Page 144


faire passer pour celui. Comme dans laquelle lattaquant usurper
les cas dusurpation didentit, lidentit.
lutilisateur malveillant se fait passer Caller ID spoofing : usurpation
pour une personne quelle nest pas, de lidentit de lmetteur dun
afin de bnficier de privilges et appel, afin de tromper le
mener des activits favorises par rcepteur de lappel sur la vraie
lidentit usurpe. Un attaquant peut identit de lappelant.
ainsi recevoir des informations
destines ladresse lgitime quil
usurpe. Lusurpation ou le spoofing
Spam
peut prendre plusieurs formes,
ou pourriel
savoir :

Message lectronique non sollicit


MAC spoofing: usurpation de
reu de destinataires que lon ne
ladresse MAC (medium access
connait pas ou de qui lon nattend pas
control, identifiant physique
un e-mail. Dapparence peu offensive,
utilis pour attribuer
les spams peuvent rapidement devenir
mondialement une adresse
trs gnant quand les messages reus
unique une machine)
atteignent un grand nombre. En effet,
IP spoofing: usurpation
certains outils spcialement conus
dadresse IP (Internet Protocol)
pour le spam peuvent envoyer des
DNS spoofing: usurpation de
centaines de-mails non dsirs la
DNS (Domain Name System,
minute. En plus de linconfort que
systme qui permet de traduire
cela peut entrainer pour lutilisateur
les noms de domaines en
les risques dinfections par e-mail
informations tangibles pour la
malware, phishing sont accrus.
machine, tel que ladresse IP)
Mail spoofing: usurpation
dune adresse e-mail, afin
denvoyer des courriels au nom
dune personne tierce de

C oncevoir la s cur it informatiq ue en entr ep ris e Page 145


Spear-phishing SQL injection : ou injection SQL16

Forme particulire de phishing trs Exploit (technique de hacking) qui


cible. Contrairement au phishing sappuie sur les requtes envoyes
classique, le spear phishing ncessite vers les bases de donnes de logiciels,
une personnalisation des appts (e- applications, qui ne contrlent pas
mails, liens, formulaires, etc.) envoys suffisamment les accs vers ces dites
la victime. En effet, lattaquant bases de donnes. Cette technique
rcolte un maximum dinformations permet daccder lensemble des
sur sa victime, afin de maximiser ses donnes stockes dans la base de
chances de succs. donnes dun site, en passant par
linterface du site web. Dans les
Spyware ou espiogiciel champs de saisis du site web,
lattaquant saisis des commandes
Programme malveillant qui est destin (requtes SQL) afin dexcuter des
espionner, pier les habitudes de actions non prvues par le concepteur
navigation, etc. de lutilisateur sur du site. En effet, en lieu et place de ses
lordinateur de qui il est install. Cette noms et prnoms, lattaquant peut
technique est utilise afin de rcolter saisir une commande qui lui permettra
des informations telles que ; les sites dextraire les noms et prnoms de
web visits, mots cls saisis, achats lensemble des utilisateurs stockes
effectus sur le web ; afin de dresser dans la base de donnes. Les WAF
un profil de lutilisateur. Cette (web application firewall) permettent
technique est majoritairement par les de diminuer les risques lis cette
entreprises commerciales, afin dpier attaque en analysant les requtes SQL
les utilisateurs et proposer des envoyes au serveur web via
produits adapts aux habitudes des linterface web.
utlisateurs, confrant un avantage
certain dans un contexte concurrentiel.
16Structured Query Language ou langage de
requtes structures. Langage utilis pour la
gestion et linteraction avec les bases de
donnes

C oncevoir la s cur it informatiq ue en entr ep ris e Page 146


V
Virus Vulnrabilit (Vulnerability) :

Programmes malveillants Faille, une brche laisse par


extrmement nuisibles et dont laction malveillance ou maladresse, dans
peut avoir des consquences trs les spcifications, la conception, la
graves sur le systme infect, tel que : ralisation, linstallation ou la
vol, suppression de donnes, configuration dun systme, ou dans
dsactivation de logiciels ou fonctions la faon de lutiliser. A la diffrence
essentielles dun systme, crash, dun bug, une vulnrabilit
destruction totale du systme, etc. Ces nimpacte pas le fonctionnement du
programmes ont la capacit de se logiciel ou du matriel ; mais
rependre dun ordinateur un autre, constitue un risque de scurit qui
dun rseau un autre, en crant des exploit par une personne
copies deux mme sans que vous malveillante, peut avoir des
nen ayez conscience. consquences extrmement pour
lutilisateur. Les vulnrabilits sont
corriges par des patches.
X
XSS (cross-site scripting) afficher le code HTM ou les scripts
saisis par les utilisateurs. Ainsi, un
Technique qui consiste injecter du utilisateur malveillant peut en
code malveillant dans des pages web. injectant du code malicieux dans les
Ces attaques visent les sites web qui pages dun site vulnrable, dclencher
ne contrlent pas suffisamment le de nombreuses actions, telles que :
contenu que les utilisateurs du site Redirection des utilisateurs qui
web sont autoriss transmettre via visitent le site lgitime vers un
les formulaires. Si dans les SQL faux site
injections cest la base de donnes qui Vol de session
est cible, dans les attaques XSS le etc.
site web est forc excuter ou

C oncevoir la s cur it informatiq ue en entr ep ris e Page 148


Z
Zero-Day (attaque 0 day) le contrle dun ordinateur, dun
logiciel ou dun rseau, voire effectuer
Faille de scurit prsente dans un une attaque par dni de service, sans
logiciel et qui nest pas connue du que la lutilisateur vis nait eu le
grand public et pas mme par lditeur temps de sy prparer.
dudit logiciel. La faille et les moyens
de lexploiter ne sont connus que par
un nombre restreint de personnes, ce Zombie
qui augmente le potentiel destructeur Ordinateur contrl linsu de son
de lattaque. propritaire par un hacker et faisant
Quand une faille informatique nest partie dun rseau de botnet. Cet
pas publie, ou connue du grand ordinateur obt aux ordres du bot-
public, et donc corrige (patche) par master (hacker qui contrle le
lditeur du logiciel mis en cause, le BOTNET) et peut tre utilis pour
hacker qui exploite la faille zero day lancer des attaques contre dautres
bnficie dune relative facilit ordinateurs. Pour lentreprise les
mener son attaque, tant donn consquences peuvent tre normes
quaucune mesure de protection nest tant le plan juridique, que financier.
prvue. Il peut par consquent prendre

C oncevoir la s cur it informatiq ue en entr ep ris e Page 149


REFERENCES DOCUMENTAIRES

ilo.org. [En ligne] http://www.ilo.org/dyn/natlex/docs/WEBTEXT/39815/64951/F95CIV01.htm.

legis.ci. [En ligne] http://legis.ci/questionsreponsestravaillicenciementphp.php.

Baptiste, Philippe Jean. La criminalit Informatique dans l'entreprise: les aspects techniques
et lgaux de la preuve.

CI-CERT. [En ligne] http://www.cicert.ci/.

CIGREF. [En ligne] http://www.cigref.fr/.

CLUSIF. [En ligne] http://www.clusif.asso.fr.

. Le rle du RSSI.

CNIL. [En ligne] http://www.cnil.fr.

dinformation, Direction centrale de la scurit des systmes. 2003. Expression des Besoins
et Identification des Objectifs de Scurit. 2003.

DCSSI. [En ligne] http://www.ssi.gouv.fr/fr/bonnes-pratiques/principes-generaux/.

Hlne Bienfait; Cline Glineur; HAPSIS. La sensiblisation: Pourquoi, Pour qui, Comment?

IBM. [En ligne] http://www-935.ibm.com/services/fr/igs/pdf/securite_attaques_internes.pdf.

ICSI. [En ligne] http://www.icsi-eu.org/francais/dev_cs/developper-culture securite.pdf.

IGICI. [En ligne] www.igici.ci .

ISCI. [En ligne] www.icsi-eu.org/.

. Politique de lICSI pour dvelopper une culture de la scurit.

ISO/IEC. 2005. Information Technology Code of practice for information security


management. 2005. 17799.

Laurent Bloch, Christophe Wolfhugel. Scurit Informatiques: principes et mthodes.

Microsoft. [En ligne] http://msdn.microsoft.com/fr-fr/library/t4ahd590(v=vs.80).aspx.

SECUSYS. [En ligne] www.secusys.com.

Simon, Kevin Mitnick et William L. L'art de la supercherie. s.l. : ditions Campus Press.

C oncevoir la s cur it informatiq ue en entr ep ris e Page 150


INDEX
hacking ................................................................. 123
A honey pot ............................................................. 123

anti-troyens ........................................................... 118


I
B ingnierie sociale.................................. 49, 50, 97, 118

Backdoors ............................................................... 21 IP ...........................................19, 22, 32, 114, 122, 126

Botnet ............................................................... 21, 25 IPS................................................................... 19, 121

BOTNET ................................................................ 99 ISO 27000 .........................................................35, 92

BS7789-2 ................................................................ 92 Itil/Cobit ................................................................. 92

BYOD ..................................................... 99, 121, 122


J
C JavaScript .................................................... Voir index

CEH........................................................................ 73
Chevaux de Troie .................................................... 25 M
CI-CERT ....................................................... 9, 73, 120 mail bombing .......................................................... 26

Cloud ......................................................... 24, 99, 122 MEHARI ....................................................... 43, 44, 45

cookies........................................................... 111, 112


crack ................................................................... 108 O
CRAMM ................................................................. 45 OCTAVE ................................................................ 42

D P
dadresses MAC .................................................... 121 pare-feu .............. 19, 32, 34, 49, 51, 109, 115, 118, 119
DDoS ................................................................ 21, 26 patches ........................................................... 109, 121
DMZ....................................................................... 19 Patches ................................................................. 121
DNS...................................................................... 122 PCDA ..................................................................... 37
DoS .................................................................. 21, 26 PCI/DSS ................................................................. 92
PGP ....................................................................... 124
E Phishing ................................................................ 106

EBIOS ........................................................... 40, 41, 42 protocole ICMP ..................................................... 120

engineering ....................................................... 50, 97 PSSI ................................................................ 70, 122


ERP ........................................................................ 31
R
G robots.................................................................... 124

GSEC ..................................................................... 73 RSSI .......... 72, 74, 75, 89, 90, 91, 92, 94, 95, 96, 97, 99

H S
hackers........................................................... 112, 113 Sarbanes-Oxley ....................................................... 30

C oncevoir la s cur it informatiq ue en entr ep ris e Page 151


serveur SMTP ......................................................... 31 V
serveur SQL ........................................................... 120
VPN .......................................................... 30, 32, 122
sniffers .................................................................. 121
Social Engineering .................................................. 49
W
spams.................................................................... 107
webmaster ............................................................. 123
spear phishing ......................................................... 98
whater hole ............................................................. 98
SSID ..................................................................... 114
Wifi ...................................................................... 114
SSL....................................................................... 104
WPA..................................................................... 114
STAD ..................................................................... 18

C oncevoir la s cur it informatiq ue en entr ep ris e Page 152


Suivre lauteur du book sur les rseaux sociaux

Publi sous licence Creative Commons en 2014


C oncevoir la s cur it informatiq ue en entr ep ris e Page 153